Token
Terakhir diperbarui: 3 Juli 2026
Bayangkan Anda telah membuat sebuah toko pakaian online. Anda ingin produk yang sudah didaftarkan di studio konten ditampilkan di situs toko yang dilihat pelanggan. Masalahnya, situs itu bukan manusia, melainkan sebuah program. Ia tidak bisa masuk dengan ID dan kata sandi seperti manusia. Untuk situasi inilah ada token, yaitu kunci rahasia yang diterbitkan agar situs atau program bisa mengakses konten menggantikan manusia.
Anggap saja token sebagai sebuah kunci untuk membuka gembok. Pihak yang memegang kunci ini bisa menangani konten dalam batas yang sudah ditentukan tanpa harus masuk terlebih dahulu. Karena itu, token harus diperlakukan persis seperti kata sandi. Jangan diperlihatkan kepada sembarang orang, karena jika bocor, siapa pun yang memilikinya bisa langsung memakai wewenang tersebut.
WEEGLOO memiliki dua jenis kunci dengan kegunaan yang berbeda. Satu adalah kunci kuat yang terikat pada akun (Personal Access Token), dan satu lagi adalah kunci sempit untuk membaca dan mengirim konten ke situs publik (Delivery Access Token). Pada halaman ini Anda akan menelaah apa masing-masing kunci itu dan kapan dipakai, lalu menerbitkannya sendiri langsung dari studio konten.
Dua kunci punya kegunaan yang berbeda
Pertama, ringkasan perbedaan keduanya secara sekilas adalah sebagai berikut.
| Personal Access Token | Delivery Access Token | |
|---|---|---|
| Terikat pada apa | Akun yang menerbitkan | Space tertentu |
| Apa yang bisa dilakukan | Semua hal yang bisa dilakukan akun itu (mendaftarkan, mengubah, menghapus produk, dan tugas pengelolaan lainnya) | Hanya membaca konten yang berstatus Published (terbit) |
| Dipakai di mana | Tugas pengelolaan di tempat yang tidak terlihat mata manusia, seperti server atau skrip otomatisasi | Saat situs web publik memuat konten |
| Cakupan wewenang | Sama persis dengan wewenang akun (tidak bisa dipersempit) | Hanya sebatas SpaceRole yang diikatkan |
Intinya seperti ini. Personal Access Token mendekati kunci serbaguna yang mewakili satu orang, sedangkan Delivery Access Token adalah kunci sempit yang "hanya bisa melihat papan pengumuman di depan pintu". Karena kegunaannya tidak tumpang tindih, Anda tinggal memilih kunci yang sesuai dengan pekerjaan yang ingin dilakukan.
Kunci yang terikat pada akun: Personal Access Token
Personal Access Token adalah kunci yang terikat pada akun yang menerbitkannya sendiri. Dengan kunci ini, Anda bisa langsung melakukan hal-hal yang bisa dilakukan akun itu di studio konten, tanpa perlu masuk. Bahkan tugas pengelolaan seperti mendaftarkan, mengubah, atau menerbitkan produk pun bisa dilakukan.
Karena itu, kunci ini kuat. Misalnya, jika Anda membuat program yang setiap malam secara otomatis mengunggah produk baru ke studio konten, program itu tidak bisa masuk seperti manusia, jadi Anda memberinya kunci ini. Kunci ini dipakai saat menjalankan tugas pengelolaan secara otomatis di tempat yang tidak langsung terlihat mata manusia, seperti server atau skrip otomatisasi.
Karena kuat, kunci ini perlu ditangani dengan hati-hati. Kunci ini tidak boleh dimasukkan ke situs web publik yang dilihat pelanggan atau ke browser. Jika dimasukkan ke tempat yang terbuka, siapa pun bisa mengeluarkan dan melihat kunci itu, dan orang yang mendapatkannya bisa langsung memakai wewenang akun yang menerbitkannya. Saat hanya ingin memuat dan menampilkan produk di situs publik, gunakan Delivery Access Token di bawah ini, bukan kunci kuat ini.
Untuk Personal Access Token, saat menerbitkannya Anda hanya perlu menentukan namanya. Anda tidak memilih cakupan wewenang secara terpisah. Sebab kunci ini mewarisi langsung wewenang yang dimiliki akun yang menerbitkannya.
Kunci yang terikat pada Space: Delivery Access Token
Delivery Access Token adalah kunci baca-saja yang terikat pada satu Space tertentu. Dengan kunci ini Anda hanya bisa membaca konten yang berstatus Published (terbit) di dalam Space itu. Konten berstatus Draft yang belum diterbitkan tidak bisa dibaca dengan kunci ini, dan mengubah atau menghapus pun tidak bisa.
Inilah kunci yang dipakai saat situs toko yang dilihat pelanggan memuat dan menampilkan produk. Situs itu cukup menampilkan produk saja, tidak perlu mendaftarkan atau menghapusnya, jadi kunci sempit yang hanya bisa membaca sudah cukup. Sekalipun kunci ini bocor, hanya konten yang sudah diterbitkan yang bisa dibaca, dan tidak akan bisa merusak konten.
Apa arti menerbitkan (Published) konten dan mengapa harus diterbitkan agar terbuka (terkirim) ke luar dibahas di Status dan penerbitan.
Batasi cakupan baca dengan mengikat peran yang sempit
Saat menerbitkan Delivery Access Token, Anda menentukan sampai sejauh mana kunci ini bisa membaca lewat SpaceRole (peran) dan mengikatkannya bersama-sama. Peran adalah kumpulan wewenang yang menentukan "apa saja, dan sampai tindakan apa, yang bisa dilakukan". Jika peran diikatkan ke kunci, kunci itu hanya bisa membaca sebatas yang diizinkan peran yang diikatkan.
Untuk situs toko, karena cukup membaca "produk" saja, buatlah peran sempit yang hanya mengizinkan Read terhadap produk (Content), lalu ikatkan. Dengan begitu, sekalipun kunci ini bocor, hanya informasi produk yang bisa dibaca, sementara konten lain atau informasi anggota tidak ikut bocor.
Jangan ikatkan peran Administrator yang bisa menangani segala hal. Administrator adalah peran berwewenang tertinggi yang bisa menangani segala hal di dalam Space itu. Jika wewenang seluas ini diikatkan ke kunci untuk situs publik yang hanya perlu membaca, risikonya membesar saat kunci bocor. Lebih aman membuat peran tersendiri yang dipersempit agar hanya membaca yang diperlukan, lalu mengikatkannya.
Cara membuat peran dan mempersempit wewenang dibahas di Peran dan wewenang. Buatlah lebih dulu, dengan melihat halaman itu, peran yang hanya mengizinkan Read produk untuk diikatkan ke kunci situs publik.
Menangani nilai rahasia yang diterbitkan
Untuk kedua kunci, setelah penerbitan selesai, nilai token rahasia akan muncul di layar. Nilai inilah yang menjadi kunci itu sendiri. Nilai ini yang Anda masukkan ke server atau situs. Segera setelah diterbitkan, salin dan simpan nilainya di tempatnya. Anda juga bisa memeriksanya kembali di layar detail token.
Hanya saja, kedua kunci ini ditempatkan di tempat yang berbeda.
- Perlakukan Personal Access Token seperti kata sandi. Karena kunci ini kuat, simpan hanya di dalam server, dan jangan masukkan ke situs publik yang dilihat pelanggan, ke browser, atau ke kode yang bisa dilihat orang lain.
- Sebaliknya, Delivery Access Token memang ditujukan untuk dimasukkan ke situs publik yang dilihat pelanggan. Siapa pun yang membuka situs itu pada dasarnya bisa melihat nilai ini, tetapi karena Anda telah mengikatkan peran yang sempit, siapa pun yang mengambil nilai ini tidak bisa melakukan apa pun di luar cakupan baca yang diizinkan peran itu. Karena itu, memasukkannya ke situs bukanlah masalah. Hanya saja, jangan menyebarkannya sembarangan ke luar situs tempat ia dipakai.
Jika Anda kehilangan kunci atau merasa kunci dipakai tidak sesuai maksud, hapus saja kunci itu lalu terbitkan yang baru dan pasang sebagai penggantinya.
Menerbitkan Personal Access Token
Mari menerbitkan Personal Access Token yang akan diberikan ke program yang setiap malam mengunggah produk baru secara otomatis.
- Buka layar Personal Access Token di pengaturan akun.
- Tekan tombol Buat di kanan atas.
- Masukkan
Unggah produk baru malam haridi kolom nama. Nama ini berguna untuk mengenali kelak kunci ini dibuat untuk keperluan apa. - Tekan tombol Simpan untuk menerbitkan.

Setelah penerbitan selesai, nilai token rahasia akan muncul di layar. Salin di tempatnya dan simpan di tempat yang aman. Tampilan layarnya sama seperti hasil penerbitan Delivery Access Token di bawah.
Menerbitkan Delivery Access Token
Kali ini, mari menerbitkan Delivery Access Token yang akan dipakai situs toko untuk memuat dan menampilkan produk. Kunci ini terikat pada Space toko pakaian, dan diikatkan bersama peran sempit yang bisa membaca produk.
Pertama-tama, peran yang akan diikatkan ke kunci ini harus sudah ada di Space. Buatlah lebih dulu di Peran dan wewenang sebuah peran yang hanya mengizinkan Read terhadap produk (Content). Di bawah ini diandaikan peran itu sudah dibuat dengan nama Baca-saja produk.
- Buka layar Delivery Access Token di pengaturan Space toko pakaian.
- Tekan tombol Buat di kanan atas.
- Masukkan
Untuk pengiriman ke situs tokodi kolom nama. - Di kolom deskripsi, Anda bisa menuliskan kunci ini dipakai untuk apa. (Ini opsional.)
- Di Space Role pilih
Baca-saja produk. Jangan pilih Administrator. - Tekan tombol Buat untuk menerbitkan.

Setelah penerbitan selesai, nilai token rahasia akan muncul di layar. Salin di tempatnya dan simpan di tempat yang aman.

Hapus kunci yang sudah tidak dipakai
Lebih aman menghapus kunci yang sudah tidak terpakai daripada membiarkannya begitu saja. Carilah kunci yang sudah tidak dipakai di daftar token, lalu hapus. Jika kunci dihapus, kunci itu tidak bisa lagi dipakai untuk mengakses. Begitu pula saat kunci sepertinya telah bocor. Hapus kunci yang dicurigai, terbitkan yang baru, lalu pasang sebagai penggantinya.
Langkah berikutnya
- Peran dan wewenang: Membuat peran dengan cakupan baca yang dipersempit untuk diikatkan ke Delivery Access Token.
- Status dan penerbitan: Yang bisa dibaca dengan Delivery Access Token hanyalah konten berstatus Published. Cari tahu apa itu penerbitan.
- Referensi API: Membahas spesifikasi teknis seperti format permintaan yang diperlukan saat menerbitkan token atau memuat konten langsung dari program.
