# Cara Membuat API dengan Laravel Sanctum: Keamanan & Otorisasi Level Tinggi

Membuat API (Application Programming Interface) yang aman dan terpercaya adalah hal krusial dalam pengembangan aplikasi modern. Laravel, sebagai framework PHP yang populer, menyediakan berbagai tools untuk memudahkan proses ini. Salah satu tool yang paling powerful untuk autentikasi dan otorisasi API adalah Laravel Sanctum. Dalam artikel ini, kita akan membahas secara mendalam **cara membuat API dengan Laravel Sanctum**, memastikan keamanan dan otorisasi level tinggi untuk aplikasi Anda.

## Daftar Isi

1.  **Apa Itu Laravel Sanctum dan Mengapa Menggunakannya untuk API?**
2.  **Persiapan Awal: Instalasi dan Konfigurasi Laravel Sanctum**
3.  **Membuat Model dan Migrasi untuk Pengguna (Users)**
4.  **Membangun Route API dengan Middleware Sanctum**
5.  **Implementasi Token-Based Authentication dengan Sanctum**
6.  **Membuat API Endpoint untuk Registrasi dan Login Pengguna**
7.  **Mengamankan API Endpoint dengan Otorisasi Berbasis Role dan Permission**
8.  **Uji Coba API: Mengirim Request dan Memvalidasi Response**
9.  **Refresh Token: Memastikan Akses API yang Berkelanjutan**
10. **Praktik Terbaik dalam Mengamankan API Laravel dengan Sanctum**
11. **Troubleshooting Masalah Umum dengan Laravel Sanctum**
12. **Kesimpulan: Menguasai Keamanan API dengan Laravel Sanctum**

## 1. Apa Itu Laravel Sanctum dan Mengapa Menggunakannya untuk API?

Laravel Sanctum adalah paket autentikasi sederhana namun kuat untuk aplikasi web dan mobile berbasis Laravel. Ia menyediakan sistem autentikasi berbasis token yang ringan dan mudah digunakan, ideal untuk mengamankan API Anda.  Sanctum berbeda dari passport atau JWT, sanctum lebih berfokus pada single page application (SPA), mobile app dan sederhana.

**Mengapa menggunakan Laravel Sanctum?**

*   **Ringan dan Mudah Digunakan:** Konfigurasi Sanctum relatif sederhana dibandingkan solusi autentikasi API lainnya seperti OAuth 2.0.
*   **Stateful dan Stateless Authentication:** Mendukung stateful authentication menggunakan cookies untuk browser dan stateless authentication menggunakan API tokens untuk aplikasi mobile dan SPA.
*   **Keamanan Tingkat Tinggi:** Sanctum menggunakan mekanisme enkripsi yang kuat untuk melindungi token API Anda.
*   **Personalisasi Token:** Anda dapat memberikan kemampuan dan hak akses spesifik ke masing-masing token.
*   **Otorisasi Berbasis Role dan Permission:**  Sanctum terintegrasi dengan baik dengan sistem otorisasi Laravel, memungkinkan Anda untuk mengontrol akses ke API endpoint berdasarkan role dan permission pengguna.
*   **CSRF Protection:** Secara otomatis menyediakan perlindungan terhadap Cross-Site Request Forgery (CSRF) ketika menggunakan cookies untuk autentikasi.

Singkatnya, **Laravel Sanctum** adalah pilihan yang tepat jika Anda membutuhkan solusi autentikasi API yang aman, mudah dikonfigurasi, dan fleksibel untuk berbagai jenis aplikasi.

## 2. Persiapan Awal: Instalasi dan Konfigurasi Laravel Sanctum

Sebelum memulai, pastikan Anda telah menginstal Laravel. Jika belum, Anda dapat menggunakan Composer untuk membuat proyek Laravel baru:

```bash
composer create-project --prefer-dist laravel/laravel nama-proyek
cd nama-proyek

Setelah proyek Laravel Anda siap, instal Laravel Sanctum melalui Composer:

composer require laravel/sanctum

Selanjutnya, publikasikan file konfigurasi dan migrasi Sanctum:

php artisan vendor:publish --provider="LaravelSanctumSanctumServiceProvider"

Kemudian, jalankan migrasi untuk membuat tabel yang dibutuhkan oleh Sanctum:

php artisan migrate

Terakhir, tambahkan Sanctum::routes(); ke dalam file routes/api.php Anda. Ini akan mendaftarkan rute-rute yang diperlukan untuk autentikasi Sanctum.

<?php

use IlluminateHttpRequest;
use IlluminateSupportFacadesRoute;
use LaravelSanctumSanctum; // Import Sanctum

/*
|--------------------------------------------------------------------------
| API Routes
|--------------------------------------------------------------------------
|
| Here is where you can register API routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| is assigned the "api" middleware group. Enjoy building your API!
|
*/

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

Sanctum::routes(); // Tambahkan baris ini

3. Membuat Model dan Migrasi untuk Pengguna (Users)

Jika Anda belum memiliki model dan migrasi untuk pengguna (Users), Anda perlu membuatnya. Secara default, Laravel sudah menyediakan model AppModelsUser, namun Anda mungkin perlu menyesuaikannya. Pastikan model User Anda mengimplementasikan trait LaravelSanctumHasApiTokens.

<?php

namespace AppModels;

use IlluminateContractsAuthMustVerifyEmail;
use IlluminateDatabaseEloquentFactoriesHasFactory;
use IlluminateFoundationAuthUser as Authenticatable;
use IlluminateNotificationsNotifiable;
use LaravelSanctumHasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;

    /**
     * The attributes that are mass assignable.
     *
     * @var array
     */
    protected $fillable = [
        'name',
        'email',
        'password',
    ];

    /**
     * The attributes that should be hidden for arrays.
     *
     * @var array
     */
    protected $hidden = [
        'password',
        'remember_token',
    ];

    /**
     * The attributes that should be cast to native types.
     *
     * @var array
     */
    protected $casts = [
        'email_verified_at' => 'datetime',
    ];
}

Pastikan juga untuk membuat migrasi yang sesuai jika Anda belum memilikinya. Migrasi ini akan membuat tabel users dalam database Anda. Contoh migrasi:

<?php

use IlluminateDatabaseMigrationsMigration;
use IlluminateDatabaseSchemaBlueprint;
use IlluminateSupportFacadesSchema;

class CreateUsersTable extends Migration
{
    /**
     * Run the migrations.
     *
     * @return void
     */
    public function up()
    {
        Schema::create('users', function (Blueprint $table) {
            $table->id();
            $table->string('name');
            $table->string('email')->unique();
            $table->timestamp('email_verified_at')->nullable();
            $table->string('password');
            $table->rememberToken();
            $table->timestamps();
        });
    }

    /**
     * Reverse the migrations.
     *
     * @return void
     */
    public function down()
    {
        Schema::dropIfExists('users');
    }
}

Pastikan untuk menjalankan migrasi setelah Anda membuat atau memodifikasi migrasi users Anda:

php artisan migrate

4. Membangun Route API dengan Middleware Sanctum

Sekarang kita akan membuat beberapa route API dan menggunakan middleware Sanctum untuk mengamankannya. Buka file routes/api.php dan tambahkan beberapa route contoh:

<?php

use IlluminateHttpRequest;
use IlluminateSupportFacadesRoute;
use AppHttpControllersProductController; // Import Controller jika diperlukan

/*
|--------------------------------------------------------------------------
| API Routes
|--------------------------------------------------------------------------
|
| Here is where you can register API routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| is assigned the "api" middleware group. Enjoy building your API!
|
*/

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

// Contoh route yang memerlukan autentikasi
Route::middleware('auth:sanctum')->get('/products', [ProductController::class, 'index']);
Route::middleware('auth:sanctum')->post('/products', [ProductController::class, 'store']);

// Contoh route publik (tidak memerlukan autentikasi)
Route::get('/products/public', [ProductController::class, 'publicIndex']);

Dalam contoh di atas:

• /user adalah route yang mengembalikan informasi pengguna yang terautentikasi.
• /products (GET dan POST) adalah route yang memerlukan autentikasi Sanctum. Hanya pengguna yang memiliki token API yang valid yang dapat mengaksesnya.
• /products/public adalah route publik yang tidak memerlukan autentikasi.

Middleware auth:sanctum akan memastikan bahwa hanya pengguna yang terautentikasi yang dapat mengakses route yang dilindungi.

5. Implementasi Token-Based Authentication dengan Sanctum

Sanctum menggunakan token API untuk mengautentikasi pengguna. Untuk membuat token, Anda dapat menggunakan method createToken yang tersedia pada instance model User.

Contoh:

use AppModelsUser;

$user = User::find(1); // Dapatkan instance User (contoh)
$token = $user->createToken('nama-token')->plainTextToken;

// $token sekarang berisi token API yang dapat digunakan untuk autentikasi

• nama-token adalah nama deskriptif untuk token tersebut (misalnya, “mobile-app”, “web-client”). Anda bisa menggunakan nama yang berbeda untuk aplikasi yang berbeda.
• plainTextToken adalah token yang akan dikembalikan ke client. Pastikan untuk menyimpan token ini dengan aman di sisi client, karena token ini hanya akan ditampilkan sekali.

Token ini kemudian harus dikirimkan dalam header Authorization dengan format Bearer {token} dalam setiap request ke API yang dilindungi.

6. Membuat API Endpoint untuk Registrasi dan Login Pengguna

Sekarang, mari kita buat API endpoint untuk registrasi dan login pengguna. Buat controller baru (misalnya, AuthController):

php artisan make:controller AuthController

Buka file app/Http/Controllers/AuthController.php dan tambahkan method register dan login:

<?php

namespace AppHttpControllers;

use AppModelsUser;
use IlluminateHttpRequest;
use IlluminateSupportFacadesHash;
use IlluminateSupportFacadesValidator;

class AuthController extends Controller
{
    public function register(Request $request)
    {
        $validator = Validator::make($request->all(), [
            'name' => 'required|string|max:255',
            'email' => 'required|string|email|max:255|unique:users',
            'password' => 'required|string|min:8',
        ]);

        if ($validator->fails()) {
            return response()->json(['errors' => $validator->errors()], 422);
        }

        $user = User::create([
            'name' => $request->name,
            'email' => $request->email,
            'password' => Hash::make($request->password),
        ]);

        $token = $user->createToken('auth_token')->plainTextToken;

        return response()->json([
            'access_token' => $token,
            'token_type' => 'Bearer',
        ]);
    }

    public function login(Request $request)
    {
        $validator = Validator::make($request->all(), [
            'email' => 'required|string|email',
            'password' => 'required|string',
        ]);

        if ($validator->fails()) {
            return response()->json(['errors' => $validator->errors()], 422);
        }

        $user = User::where('email', $request->email)->first();

        if (!$user || !Hash::check($request->password, $user->password)) {
            return response()->json([
                'message' => 'Invalid login credentials'
            ], 401);
        }

        $token = $user->createToken('auth_token')->plainTextToken;

        return response()->json([
            'access_token' => $token,
            'token_type' => 'Bearer',
        ]);
    }

    public function logout(Request $request) {
        $request->user()->currentAccessToken()->delete();

        return response()->json([
            'message' => 'Successfully logged out'
        ]);
    }
}

Kemudian, definisikan route untuk register, login, dan logout di routes/api.php:

Route::post('/register', [AuthController::class, 'register']);
Route::post('/login', [AuthController::class, 'login']);
Route::middleware('auth:sanctum')->post('/logout', [AuthController::class, 'logout']);

7. Mengamankan API Endpoint dengan Otorisasi Berbasis Role dan Permission

Salah satu keunggulan Sanctum adalah kemampuannya untuk mengintegrasikan dengan sistem otorisasi Laravel. Anda dapat menggunakan middleware seperti can untuk membatasi akses ke endpoint berdasarkan permission pengguna.

Langkah 1: Define Permissions and Roles

Anda dapat menggunakan package seperti Spatie Permissions untuk mengelola role dan permission.

composer require spatie/laravel-permission

Ikuti instruksi instalasi dan konfigurasi dari package tersebut. Anda kemudian dapat membuat role dan permission melalui artisan console atau seeder.

Langkah 2: Assign Permissions to Roles and Roles to Users

Assign permission ke role dan role ke user. Contoh:

use AppModelsUser;
use SpatiePermissionModelsRole;
use SpatiePermissionModelsPermission;

// Buat permission
$createProduct = Permission::create(['name' => 'create products']);
$editProduct = Permission::create(['name' => 'edit products']);

// Buat role
$adminRole = Role::create(['name' => 'admin']);
$editorRole = Role::create(['name' => 'editor']);

// Assign permission ke role
$adminRole->givePermissionTo($createProduct);
$adminRole->givePermissionTo($editProduct);
$editorRole->givePermissionTo($editProduct);

// Assign role ke user
$user = User::find(1); // User dengan ID 1
$user->assignRole('admin');

Langkah 3: Gunakan Middleware can untuk melindungi endpoint

Di routes/api.php:

Route::middleware(['auth:sanctum', 'can:create products'])->post('/products', [ProductController::class, 'store']);
Route::middleware(['auth:sanctum', 'can:edit products'])->put('/products/{id}', [ProductController::class, 'update']);

Dengan cara ini, hanya pengguna yang memiliki permission create products yang dapat membuat produk baru melalui endpoint /products (POST). Pengguna yang memiliki permission edit products dapat memperbarui produk melalui endpoint /products/{id} (PUT).

8. Uji Coba API: Mengirim Request dan Memvalidasi Response

Untuk menguji API Anda, Anda dapat menggunakan tools seperti Postman, Insomnia, atau curl. Berikut contoh penggunaan Postman:

1. Register User: Kirim POST request ke endpoint /register dengan data JSON yang sesuai (name, email, password). Anda akan menerima response JSON yang berisi access_token.
2. Login User: Kirim POST request ke endpoint /login dengan data JSON yang sesuai (email, password). Anda akan menerima response JSON yang berisi access_token.
3. Access Protected Route: Untuk mengakses route yang dilindungi, tambahkan header Authorization ke request Anda. Nilai header harus dalam format Bearer {access_token}, dimana {access_token} adalah token yang Anda peroleh dari register atau login. Contoh, kirim GET request ke endpoint /products dengan header Authorization: Bearer <your_access_token>.
4. Validate Response: Periksa response yang Anda terima. Jika autentikasi berhasil, Anda akan menerima data yang sesuai (misalnya, daftar produk). Jika autentikasi gagal, Anda akan menerima error code (misalnya, 401 Unauthorized).

Pastikan untuk menguji berbagai skenario, termasuk:

• Request dengan token yang valid
• Request dengan token yang tidak valid atau kadaluarsa
• Request tanpa token
• Request ke endpoint yang memerlukan permission tertentu tanpa memiliki permission tersebut.

9. Refresh Token: Memastikan Akses API yang Berkelanjutan

Meskipun Sanctum tidak secara eksplisit menyediakan fitur refresh token, Anda dapat mengimplementasikannya sendiri dengan membuat endpoint khusus untuk menghasilkan token baru berdasarkan token yang sudah ada. Ini penting untuk memastikan akses API yang berkelanjutan tanpa mengharuskan pengguna untuk login ulang setiap kali token kedaluwarsa.

Implementasi Refresh Token (Contoh Sederhana):

1. Buat Endpoint: Tambahkan route baru di routes/api.php:

   Route::middleware('auth:sanctum')->post('/refresh-token', [AuthController::class, 'refreshToken']);

2. Implementasikan Logic di Controller: Tambahkan method refreshToken di AuthController.php:

   public function refreshToken(Request $request)
   {
       // Hapus token saat ini
       $request->user()->currentAccessToken()->delete();
   
       // Buat token baru
       $token = $request->user()->createToken('auth_token')->plainTextToken;
   
       return response()->json([
           'access_token' => $token,
           'token_type' => 'Bearer',
       ]);
   }

Penting: Implementasi di atas adalah contoh sederhana. Dalam implementasi production-ready, Anda perlu mempertimbangkan:

• Waktu Kedaluwarsa: Tetapkan waktu kedaluwarsa untuk token refresh dan token akses. Token refresh biasanya memiliki waktu kedaluwarsa yang lebih lama.
• Keamanan: Simpan token refresh dengan aman (misalnya, di database) dan gunakan mekanisme enkripsi yang kuat.
• Rotasi Token: Pertimbangkan untuk merotasi token refresh secara berkala untuk meningkatkan keamanan.
• Concurrency: Pastikan implementasi Anda menangani concurrency dengan benar untuk mencegah masalah keamanan.

10. Praktik Terbaik dalam Mengamankan API Laravel dengan Sanctum

Berikut adalah beberapa praktik terbaik untuk mengamankan API Laravel Anda dengan Sanctum:

• Validasi Input: Selalu validasi input pengguna untuk mencegah serangan seperti SQL injection dan Cross-Site Scripting (XSS).
• Gunakan HTTPS: Pastikan semua komunikasi antara client dan server menggunakan HTTPS untuk mengenkripsi data yang sensitif.
• Rate Limiting: Implementasikan rate limiting untuk mencegah serangan brute-force dan Distributed Denial of Service (DDoS). Laravel menyediakan middleware throttle untuk tujuan ini.
• HTTP Headers Keamanan: Set HTTP Headers keamanan seperti X-Content-Type-Options, X-Frame-Options, dan Content-Security-Policy untuk mengurangi risiko serangan.
• Logging dan Monitoring: Implementasikan logging dan monitoring untuk mendeteksi aktivitas yang mencurigakan dan mengidentifikasi potensi celah keamanan.
• Regular Security Audits: Lakukan security audits secara berkala untuk mengidentifikasi dan memperbaiki kerentanan keamanan.
• Keep Dependencies Updated: Pastikan semua dependencies Anda (termasuk Laravel dan Sanctum) selalu diperbarui ke versi terbaru untuk mendapatkan patch keamanan terbaru.
• Hindari Menyimpan Token di LocalStorage (Browser): LocalStorage rentan terhadap serangan XSS. Jika memungkinkan, gunakan cookie dengan atribut HttpOnly dan Secure untuk menyimpan token di browser.

11. Troubleshooting Masalah Umum dengan Laravel Sanctum

Berikut adalah beberapa masalah umum yang mungkin Anda temui saat menggunakan Laravel Sanctum dan cara mengatasinya:

• 401 Unauthorized Error: Pastikan Anda mengirimkan token yang benar di header Authorization dengan format yang benar (Bearer {token}). Periksa juga apakah token tersebut belum kedaluwarsa atau ditarik kembali.
• CSRF Token Mismatch: Ini biasanya terjadi jika Anda menggunakan Sanctum untuk aplikasi web dan tidak mengkonfigurasi CSRF protection dengan benar. Pastikan Anda menyertakan CSRF token dalam setiap request POST, PUT, atau DELETE.
• Token Tidak Ditemukan di Database: Pastikan migrasi Sanctum telah dijalankan dengan benar dan tabel personal_access_tokens telah dibuat. Periksa juga apakah token tersebut benar-benar ada di database.
• Session Not Persisted: Jika Anda menggunakan Sanctum untuk aplikasi web dan mengalami masalah dengan session, pastikan middleware StartSession diaktifkan.
• Kesalahan Konfigurasi Domain Cookie: Ketika menggunakan subdomain, pastikan konfigurasi SESSION_DOMAIN di .env Anda sudah sesuai.

12. Kesimpulan: Menguasai Keamanan API dengan Laravel Sanctum

Dalam artikel ini, kita telah membahas secara mendalam cara membuat API dengan Laravel Sanctum, mulai dari instalasi dan konfigurasi hingga implementasi autentikasi, otorisasi, dan refresh token. Kita juga membahas praktik terbaik untuk mengamankan API Laravel Anda. Dengan memahami dan menerapkan konsep-konsep ini, Anda dapat membangun API yang aman, terpercaya, dan mudah digunakan.

Laravel Sanctum adalah alat yang sangat berguna untuk mengamankan API Anda, tetapi penting untuk diingat bahwa keamanan adalah proses berkelanjutan. Selalu ikuti perkembangan terbaru dalam keamanan web dan terapkan praktik terbaik untuk melindungi aplikasi Anda dari ancaman yang terus berkembang. Dengan kombinasi implementasi yang cermat dan pemahaman yang kuat tentang prinsip-prinsip keamanan, Anda dapat memastikan bahwa API Anda aman dan dapat diandalkan.