Delivery Access Token

Terakhir diperbarui: 22 Juni 2026

DeliveryAccessToken adalah token baca yang digunakan untuk membaca konten yang telah dipublikasikan dari CDA (pengiriman publik). Saat browser sebuah situs web atau aplikasi mengambil konten yang dipublikasikan, ia memanggil CDA dengan token ini. Saat diterbitkan, token diikat ke satu SpaceRole, dan peran itulah yang menentukan cakupan baca token (yaitu Content Type mana saja yang boleh dibaca).

Di CMA, DeliveryAccessToken merupakan sumber daya turunan dari Space, dan path-nya mengacu pada /spaces/{spaceId}/delivery-access-tokens. Karena token ini bekerja dalam keadaan terekspos ke browser (klien), peran yang diikat harus ditetapkan dengan hak paling minimal (least-privilege) yang hanya membaca Content Type yang benar-benar diperlukan (lihat Keamanan: pengikatan hak minimal di bawah).

Struktur sumber daya

Berikut adalah respons saat sebuah DeliveryAccessToken dibuat. sys (properti sistem) memuat nilai token dan cakupannya, sedangkan body memuat name dan description.

{
  "sys": {
    "id": "3trmXRM3RqbgSnifyg7PUFQuOAqWOc",
    "type": "DeliveryAccessToken",
    "space": { "sys": { "id": "HnQ32YiH", "type": "Refer", "targetType": "Space" } },
    "createdBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
    "createdAt": "2026-06-18T09:24:23.156Z",
    "updatedBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
    "updatedAt": "2026-06-18T09:24:23.156Z",
    "accessToken": "DVRATbQ8mX2vK9pLs7Rf1Zt0Nc4Wd6Hg5Ua2Ee9Ck3PoYx8Bj6Hg5Ua2Ee9Ck3Po…",
    "scopes": ["DELIVERY"]
  },
  "description": "Token pengiriman hanya-baca untuk situs publik toko pakaian",
  "name": "Pengiriman situs web publik"
}

Kunci utama:

  • sys.id: pengenal unik DeliveryAccessToken. Nilai ini masuk ke {deliveryAccessTokenId} pada path baca, ubah, dan hapus tunggal.
  • sys.accessToken: nilai token rahasia yang digunakan untuk memanggil CDA. Nilai yang sama tetap muncul apa adanya pada pembacaan setelah penerbitan, jadi berhati-hatilah agar tidak terekspos (lihat bagian keamanan di bawah).
  • sys.scopes: cakupan hak token. Saat diterbitkan, DeliveryAccessToken selalu bernilai ["DELIVERY"].
  • name: nama token yang ditetapkan saat pembuatan (contoh: Pengiriman situs web publik).
  • description: deskripsi token (opsional).

accessToken pada contoh di atas adalah nilai rahasia, sehingga diganti dengan string contoh. Nilai sebenarnya berupa string panjang dan tidak transparan, dan akan tetap sama ketika dibaca kembali setelah diterbitkan.

Properti sistem (sys)

Setiap DeliveryAccessToken memuat properti sistem umum dan properti khusus token di dalam objek sys. space, createdBy, dan updatedBy masuk dalam bentuk Refer ({ "sys": { "id", "type": "Refer", "targetType" } }).

PropertiTipeDeskripsi
idstringPengenal unik sumber daya.
typestringJenis sumber daya. DeliveryAccessToken selalu "DeliveryAccessToken".
spaceRefer<Space>Space tempat token ini berada.
createdByRefer<User>Pengguna yang membuat.
createdAtstring (date-time)Waktu pembuatan.
updatedByRefer<User>Pengguna yang terakhir mengubah.
updatedAtstring (date-time)Waktu perubahan terakhir.
accessTokenstringNilai token rahasia yang digunakan untuk memanggil CDA. Karena tetap muncul apa adanya pada pembacaan setelah penerbitan, perlakukan agar tidak terekspos ke luar.
scopesstring arrayCakupan hak token. DeliveryAccessToken selalu ["DELIVERY"].

Properti body:

PropertiTipeDeskripsi
namestring (1~64)Nama token. Ditetapkan saat pembuatan.
descriptionstring (≤128)Deskripsi token. Opsional.

Keamanan: pengikatan hak minimal

DeliveryAccessToken adalah token yang memanggil CDA dalam keadaan terekspos ke browser dan pengunjung. Karena itu, SpaceRole mana yang diikat menjadi batas keamanan token ini.

  • Pada role di permintaan pembuatan, masukkan sys.id dari SpaceRole berhak minimal yang hanya membaca Content Type yang diperlukan. Untuk pengiriman publik, disarankan peran baca-saja.
  • Jangan pernah mengikat peran Administrator. Karena token ini terekspos ke klien, mengikat peran yang membawa hak administrasi berarti hak itu bocor langsung ke luar. Selain itu, jangan asal memakai item pertama dari daftar SpaceRole; tentukan secara eksplisit sys.id dari peran berhak minimal yang Anda maksud.
  • accessToken adalah nilai rahasia yang dibaca dengan nilai yang sama bahkan setelah diterbitkan. Suntikkan secara aman ke build klien, tetapi jangan ekspos apa adanya ke luar.

(Sumber: skill dan rule weegloo-delivery-access-token.)

API

Base URL untuk semua endpoint di bawah adalah https://cma.weegloo.com/v1, dan diperlukan token Bearer untuk autentikasi CMA pada header Authorization. Pengubahan dan pengubahan sebagian DeliveryAccessToken tidak memerlukan header X-Weegloo-Version.

  • SpaceRole: mendefinisikan peran (cakupan baca) yang akan diikat ke token ini.
  • Ringkasan CDA: API pengiriman yang membaca konten yang dipublikasikan dengan token ini.
  • Personal Access Token: token Weegloo User untuk server dan CI.