Beranda/ Menguasai Postman: Autentikasi Cookie dan Token

Menguasai Postman: Autentikasi Cookie dan Token

Dalam artikel ini, kita akan mendalami autentikasi Cookie dan Token, dua strategi keamanan yang sangat krusial.

Andi Prasetyo

3 min read

Dalam dunia layanan web dan manajemen API, memahami mekanisme inti yang mengamankan komunikasi antara klien dan server menjadi sangat penting. Dalam artikel ini, kita akan mendalami autentikasi Cookie dan Token, dua strategi keamanan yang sangat krusial. Kita akan melihat contoh-contoh praktis menggunakan Postman dan echoAPI Interceptor, yang menyoroti penerapan dan nuansa mereka.

Postman.png

Apa Itu Cookies?

Cookie adalah sepotong teks kecil yang disimpan di mesin klien yang terutama digunakan untuk manajemen sesi, personalisasi pengguna, dan pelacakan perilaku pengguna. Dalam format kunci=nilai, cookie berfungsi sebagai penyimpan data kecil.

image.png

Autentikasi Cookie adalah metode sisi server untuk mempertahankan keadaan antar transaksi HTTP. Cara kerjanya adalah sebagai berikut:

  1. Permintaan Awal oleh Klien: Saat pertama kali mengunjungi server, jika autentikasi diperlukan, server akan menghasilkan cookie.
  2. Cookie dalam Header Respons: Cookie ini dikirim kembali dengan respons, tertanam dalam header Set-Cookie.
  3. Permintaan Berikutnya: Pada permintaan berikutnya, klien mengembalikan cookie ini ke server dalam header Cookie, memungkinkan server untuk memvalidasi sesi.
  • Cookie Sesi: Disimpan dalam memori dan dihapus ketika browser ditutup.
  • Cookie Persisten: Disimpan di hard drive hingga kadaluwarsa (seperti yang ditentukan oleh tanggal kadaluwarsanya) atau sampai pengguna menghapus cookie.

Untuk memeriksa cookie, seseorang dapat menggunakan Alat Pengembang browser di bawah panel Aplikasi untuk melihat detail seperti Nama, Nilai, Domain, Jalur, dan Kadaluarsa/Max-Umur.

cookies.jpg

Contoh Praktis: Men-debug Autentikasi API

Mari kita rinci langkah-langkah untuk memahami autentikasi cookie dan token melalui debugging praktis:

Alat yang Digunakan:

  • EchoAPI Interceptor: Alat modern untuk menangkap dan memeriksa lalu lintas HTTP.
EchoAPI Interceptor.png

Langkah-Langkah dalam Aksi:

1. Pengaturan:

Setelah login, echoAPI Interceptor secara otomatis akan menangkap lalu lintas termasuk URL, parameter, dan cookie dari sesi tersebut.

img_v3_02iq_53016773-c8be-4279-811f-5b4c945ec37g.jpg

Navigasi ke halaman login di https://app.echoapi.com/login dan lakukan login dengan kredensial.

img_v3_02iq_dee9da85-e16f-4892-b691-2bc1b48f2dag.jpg

2. Menyalin curl untuk API:

Klik kanan pada API dan pilih untuk menyalin sebagai curl.

img_v3_02iq_002452d0-654e-4ba9-aac5-dba69492f94g.jpg

Klik pada API login dari daftar yang tertangkap, kirim permintaan, dan pastikan dapat di-debug.

img_v3_02iq_a9c04c05-0409-4cde-9424-f72c7718ff4g.jpg

3. Mengimpor ke Postman:

Bawa perintah curl ke Postman untuk mengatur lingkungan untuk permintaan selanjutnya.

img_v3_02iq_c33e79ae-664f-4706-b194-335a905f379g.jpg

4. Pengaturan Token di Postman:

Setelah mengirim permintaan melalui endpoint login/email_login, ekstrak token dari respons dan atur sebagai variabel global:

var data = JSON.parse(responseBody);
pm.globals.set("token", data.data.token);

![img_v3_02iq_3e98f578-836b-4d4e-9e75-dfd5eae1f98g.jpg](https://assets.echoapi.com/upload/user/218821375908265984/log/cf1e1634-2b53-42f5-939b-89b2a63f515f.jpg "img_v3_02iq_3e98f578-836b-4d4e-9e75-dfd5eae1f98g")

5. Menggunakan Token di Header:

  • Beralih ke endpoint api/online di Postman.

Di bagian Header, ganti nilai echoapitoken dengan variabel token {{token}} yang diperoleh sebelumnya, kirim permintaan, dan amati keluarannya.

img_v3_02iq_d719af85-13fe-4b35-854c-93b9af9fdefg.jpg

Hasilnya menunjukkan kegagalan, karena API memerlukan otentikasi melalui token, sehingga memvalidasi perbedaan dalam autentikasi yang digunakan.

img_v3_02iq_4cbcd275-2ee6-4922-9cf2-a9b5d763bd9g.jpg

Coba lakukan permintaan ke api/online dengan semua cookie dihapus atau dinonaktifkan.

img_v3_02iq_fd50f08f-beae-4b0a-8e64-9fb2161282bg.jpg

Kesimpulan

Melalui panduan komprehensif dan contoh praktis ini, Anda telah mempelajari tentang mekanisme autentikasi Cookie dan Token, bagaimana menginspeksi dan memanipulasi ini menggunakan alat seperti Postman dan echoAPI Interceptor. Autentikasi Cookie dan Token melayani tujuan dan skenario yang berbeda di mana yang pertama mengelola sesi dan yang terakhir mengamankan panggilan API via token yang mewakili kredensial pengguna atau keadaan sesi.

Memahami dan mengimplementasikan mekanisme autentikasi ini secara benar dapat meningkatkan keamanan dan fungsionalitas aplikasi web dan layanan, memberikan pengalaman pengguna yang lebih aman dan responsif.

Mulai secara Gratis

Topik Terhangat

Postman vs Thunder Client Alternatif Postman Alternatif Insomnia Pengujian Otomatis dengan Bruno Alternatif Thunder Client Ekstensi VSCode untuk Pengembang Frontend