Welcome to Xendit’s latest documentation. For legacy content, access the previous documentation here or the previous API reference here.

API key

Prev Next

Xendit mengautentikasi permintaan API Anda menggunakan API key akun Anda. Jika Anda tidak menyertakan key saat membuat permintaan API, atau menggunakan key yang salah atau dihapus, Xendit mengembalikan kesalahan.

Setiap akun dilengkapi dengan key terpisah untuk pengujian dan menjalankan transaksi langsung. Semua permintaan API ada dalam mode pengujian atau langsung.

API key rahasia vs publik

  • API key rahasia: Key rahasia dapat melakukan permintaan API apa pun ke Xendit atas nama akun Anda. Key rahasia Anda harus dijaga kerahasiaannya dan hanya disimpan di server Anda sendiri.

  • API key publik: Key publik dimaksudkan untuk mengidentifikasi akun Anda dengan Xendit. Dengan kata lain, mereka dapat dengan aman dipublikasikan di tempat-tempat seperti kode javascript Anda atau di aplikasi Android atau iPhone. Key publik hanya memiliki kekuatan untuk mentokenisasi Kartu.

Setiap akun memiliki total dua key setelah proses pendaftaran: sepasang key publik untuk mode pengujian dan langsung. Anda tidak akan memiliki key rahasia saat memulai. Penyiapan default ini adalah untuk mencegah key rahasia disusupi bagi pelanggan yang tidak berintegrasi dengan Xendit menggunakan API. Anda dapat membuat atau menghapus key sesuai dengan kebutuhan Anda di Dasbor.

INFO

Catatan: Gunakan hanya API key pengujian Anda untuk pengujian atau pengembangan. Ini memastikan bahwa Anda tidak secara tidak sengaja membuat atau memodifikasi transaksi langsung

Izin API key

Setiap API key memiliki izin produk yang dapat Anda konfigurasikan. Ada tiga jenis izin API key:

  • None: Tidak ada akses yang diberikan ke produk khusus ini, artinya Anda melarang API key Anda untuk melakukan tindakan apa pun.

  • Read: Memberikan kemampuan untuk mengakses baca-saja atau mengambil data menggunakan API produk tertentu. Anda akan memberikan akses Baca jika Anda hanya perlu, misalnya, mendapatkan saldo akun atau mendapatkan detail pembayaran.

  • Write: Memberikan kemampuan untuk membaca dan menulis data menggunakan API. Anda akan memberikan akses Tulis jika ingin melakukan tindakan seperti membuat pembayaran atau pembayaran.

Cara membuat API key

  1. Buka Pengaturan > API Key

  2. Klik Buat Secret Key

  3. Pilih izin API key

  4. Masukkan kata sandi Anda untuk mengautentikasi diri Anda

  5. Simpan API key dengan aman dan terapkan key API baru ke sistem Anda

Cara menghapus API key

Jika ingin menghapus API key yang tidak digunakan atau mencurigai API key Anda disusupi, Anda dapat menghapus API key dengan mengikuti langkah-langkah berikut:

  1. Kunjungi halaman API key

  2. Klik Hapus untuk pada API key tertentu

  3. Masukkan kata sandi Anda untuk mengautentikasi diri Anda

  4. Key berhasil dihapus

INFO

Anda dapat menggunakan Last Used informasi untuk menentukan API key yang tidak digunakan

Mengamankan API key

Jangan pernah memasukkan key Anda ke repositori Anda

Menerapkan API key ke kode sumber adalah vektor umum untuk penyusupan kredensial. Bagi mereka yang memiliki repositori publik, ini adalah cara umum yang dapat Anda bagikan key Anda tanpa sadar ke internet.

Repositori pribadi lebih aman, tetapi pelanggaran data juga dapat mengakibatkan key Anda bocor. Untuk alasan ini, kami sangat merekomendasikan penggunaan variabel lingkungan sebagai ukuran keamanan key proaktif (misalnya dengan menggunakan paket dotenv di aplikasi Node atau menggunakan metode os.getenv() di Python)

Menggunakan Layanan Manajemen Key

Ada berbagai produk yang tersedia untuk mengelola key API rahasia dengan aman. Alat-alat ini memungkinkan Anda mengontrol akses ke key dan meningkatkan keamanan data Anda secara keseluruhan. Jika terjadi pelanggaran data pada aplikasi Anda, key Anda tidak akan disusupi, karena akan dienkripsi dan dikelola di lokasi yang sama sekali terpisah.

Salah satu solusi untuk kenyamanan dan ketenangan pikiran adalah dengan menggunakan layanan manajemen rahasia seperti AWS Secret Manager. Ini tidak hanya akan melindungi key Anda tetapi juga membantu Anda mengambil dan mengelola kredensial seluruh tim Anda.

Membatasi izin key API

key API terbatas hanya mengizinkan tingkat akses minimum yang Anda tentukan. key terbatas tidak dapat berinteraksi dengan banyak bagian API Xendit dan dimaksudkan untuk mengurangi risiko saat menggunakan atau membangun layanan mikro.

Gunakan key API terbatas jika Anda bekerja dengan layanan mikro yang berinteraksi dengan API Xendit atas nama Anda. Anda dapat membuat key API terbatas yang membatasi akses ke, dan izin ke data akun tertentu. Misalnya, Anda dapat membuat key terbatas yang memberikan akses hanya-tulis ke Money-in untuk mengakses uang di API, seperti Kartu Kredit, QR, Akun Virtual, dll.

INFO

Jika Anda hanya menggunakan produk Money-in dan memerlukan akses Saldo, berikan key Write API Anda izin untuk Money-in dan Read izin untuk Money-out

Jangan membagikan key API atau header Otorisasi Anda kepada siapa pun

Kebocoran key API dapat terjadi ketika pemilik key API secara tidak sengaja mengekspos nilai key API ke pihak lain, misalnya selama eskalasi masalah ke tim CS Xendit. Gunakan Request-ID informasi untuk eskalasi yang aman dan resolusi yang lebih cepat. Baca lebih lanjut tentang Request-ID informasi di sini.

Menyunting key API dari log Anda

Periksa log Anda secara teratur untuk memastikan log tersebut menyimpan semua informasi yang mungkin Anda perlukan dan tidak menyimpan apa pun yang bersifat sensitif (misalnya, nilai key API, informasi identitas pribadi, dll). Pastikan untuk menyunting / hash / mengenkripsi nilai key API untuk mengamankan key API.

Menghapus key API dan akun layanan yang tidak digunakan

Sebagai praktik standar strategi keamanan Anda, Anda harus secara teratur meninjau dan membersihkan key API dan akun layanan yang ada. Untuk lebih memahami key API mana yang digunakan, Anda dapat menggunakan Last Used informasi di halaman key API dan menghapus key API yang tidak digunakan dengan aman.

Buat key baru jika Anda mencurigai adanya pelanggaran

Jika menurut Anda kredensial API Anda telah disusupi, tetap tenang dan cabut key Anda. Hal ini dapat dengan mudah dilakukan di Xendit Dashboard dengan mengikuti langkah-langkah berikut:

  1. Kunjungi halaman key API

  2. Membuat key API baru

  3. Terapkan key API baru ke sistem Anda

  4. Hapus key API yang disusupi dari Dasbor Xendit

Buat ulang key API Anda secara berkala

Semakin tua key, semakin tinggi kemungkinan itu bisa dikompromikan. Anda dapat membuat ulang key API secara berkala, seperti setiap 6 atau 12 bulan, untuk memastikan langkah-langkah keamanan tertinggi untuk key API Anda