API (Application Programming Interface) telah menjadi tulang punggung modern web dan aplikasi mobile. Kemampuannya untuk menghubungkan berbagai sistem dan layanan menjadikannya sangat penting untuk integrasi data yang efisien. Laravel, salah satu framework PHP paling populer, menyediakan berbagai alat dan pustaka untuk mempermudah pembuatan API. Salah satunya adalah Laravel Sanctum, yang memungkinkan Anda mengamankan API Anda dengan mudah, terutama untuk aplikasi SPA (Single Page Application), mobile, dan sistem yang membutuhkan autentikasi sederhana.

Artikel ini akan memandu Anda langkah demi langkah dalam belajar membuat API dengan Laravel Sanctum, sehingga Anda dapat mengintegrasikan data dengan lebih mudah dan aman. Kita akan membahas dasar-dasar Sanctum, cara menginstalnya, cara menggunakannya untuk autentikasi, dan contoh penggunaan praktis. Siapkan diri Anda untuk menyelami dunia pembuatan API yang aman dan efisien!

1. Mengapa Memilih Laravel Sanctum untuk API Anda?

Sebelum kita melangkah lebih jauh, mari kita pahami mengapa Laravel Sanctum menjadi pilihan yang tepat untuk mengamankan API Anda. Ada beberapa alasan utama:

• Ringan dan Mudah Digunakan: Sanctum dirancang untuk menjadi solusi autentikasi yang ringan dan mudah diterapkan, terutama jika dibandingkan dengan metode otentikasi berbasis OAuth yang lebih kompleks.
• Sangat Cocok untuk SPA dan Mobile: Sanctum sangat ideal untuk aplikasi SPA (Single Page Application) yang menggunakan JavaScript framework seperti React, Vue.js, atau Angular, serta aplikasi mobile yang berjalan di platform Android atau iOS.
• Token yang Dibuat untuk Keperluan Tertentu (Ability-Based Tokens): Sanctum memungkinkan Anda untuk membuat token API dengan “ability” (kemampuan) tertentu. Ini berarti Anda dapat membatasi akses token hanya untuk fungsi-fungsi tertentu, meningkatkan keamanan API Anda secara signifikan. Contohnya, token hanya boleh digunakan untuk membaca data, bukan untuk menghapus atau mengubahnya.
• Session-Based Authentication: Sanctum juga mendukung autentikasi berbasis sesi, membuatnya kompatibel dengan aplikasi web tradisional yang menggunakan cookie.
• Simple dan Aman: Implementasi keamanan dilakukan dengan baik tanpa mengorbankan kemudahan penggunaan.

Dengan alasan-alasan di atas, belajar membuat API dengan Laravel Sanctum adalah investasi yang cerdas bagi developer yang ingin membangun aplikasi modern dengan integrasi data yang aman dan mudah.

2. Persiapan Awal: Instalasi Laravel dan Sanctum

Langkah pertama adalah menyiapkan lingkungan pengembangan Anda. Pastikan Anda telah menginstal:

• PHP: Versi 7.3 atau lebih tinggi.
• Composer: Package manager untuk PHP.
• Database: MySQL, PostgreSQL, atau database lain yang didukung oleh Laravel.

Setelah semua persyaratan terpenuhi, ikuti langkah-langkah berikut:

1. Buat Proyek Laravel Baru:

   Buka terminal atau command prompt Anda dan jalankan perintah berikut:

   composer create-project --prefer-dist laravel/laravel nama-proyek-anda
   cd nama-proyek-anda

   Ganti nama-proyek-anda dengan nama proyek yang Anda inginkan.

2. Konfigurasi Database:

   Buka file .env di direktori proyek Anda dan konfigurasi koneksi database Anda:

   DB_CONNECTION=mysql
   DB_HOST=127.0.0.1
   DB_PORT=3306
   DB_DATABASE=nama_database_anda
   DB_USERNAME=nama_pengguna_database_anda
   DB_PASSWORD=password_database_anda

   Pastikan Anda telah membuat database dengan nama yang sesuai di server database Anda.

3. Instal Laravel Sanctum:

   Jalankan perintah berikut di terminal:

   composer require laravel/sanctum

4. Publish Configuration dan Migrasi:

   Jalankan perintah berikut untuk mem-publish file konfigurasi Sanctum dan menjalankan migrasi database:

   php artisan vendor:publish --provider="LaravelSanctumSanctumServiceProvider"
   php artisan migrate

   Perintah php artisan migrate akan membuat tabel yang dibutuhkan oleh Sanctum di database Anda.

5. Configure Sanctum Middleware:

   Buka file app/Http/Kernel.php dan tambahkan middleware EnsureFrontendRequestsAreStateful ke grup api di properti $middlewareGroups:

       'api' => [
           AppHttpMiddlewareTrustProxies::class,
           AppHttpMiddlewarePreventRequestsDuringMaintenance::class,
           IlluminateFoundationHttpMiddlewareValidatePostSize::class,
           AppHttpMiddlewareTrimStrings::class,
           IlluminateFoundationHttpMiddlewareConvertEmptyStringsToNull::class,
           AppHttpMiddlewareTrustHosts::class, // Tambahkan baris ini
           LaravelSanctumHttpMiddlewareEnsureFrontendRequestsAreStateful::class, // Tambahkan baris ini
           IlluminateRoutingMiddlewareSubstituteBindings::class,
           IlluminateFoundationHttpMiddlewareValidatePostSize::class, // Tambahkan baris ini
       ],

   Middleware ini memastikan bahwa permintaan dari frontend (seperti SPA) diperlakukan sebagai “stateful,” yang berarti mereka dapat menggunakan cookie untuk otentikasi.

Dengan langkah-langkah di atas, Anda telah berhasil menginstal dan mengkonfigurasi Laravel Sanctum. Sekarang, mari kita belajar membuat API dengan Laravel Sanctum dan mengamankan endpoint kita.

3. Implementasi Autentikasi dengan Sanctum: Login dan Registrasi

Sekarang kita akan mengimplementasikan proses autentikasi, yaitu login dan registrasi pengguna. Kita akan membuat controller dan rute yang sesuai untuk menangani permintaan ini.

1. Buat Controller Autentikasi:

   Jalankan perintah berikut untuk membuat controller bernama AuthController:

   php artisan make:controller AuthController

2. Definisikan Rute Autentikasi:

   Buka file routes/api.php dan tambahkan rute-rute berikut:

   use AppHttpControllersAuthController;
   use IlluminateSupportFacadesRoute;
   
   Route::post('/register', [AuthController::class, 'register']);
   Route::post('/login', [AuthController::class, 'login']);
   
   Route::middleware('auth:sanctum')->group(function () {
       Route::post('/logout', [AuthController::class, 'logout']);
       Route::get('/user', function (Request $request) {
           return $request->user();
       });
   });

   Perhatikan bahwa rute /user dan /logout berada di dalam grup middleware auth:sanctum. Ini berarti rute-rute ini hanya dapat diakses oleh pengguna yang telah diautentikasi menggunakan Sanctum.

3. Implementasikan Controller AuthController:

   Buka file app/Http/Controllers/AuthController.php dan tambahkan kode berikut:

   <?php
   
   namespace AppHttpControllers;
   
   use AppModelsUser;
   use IlluminateHttpRequest;
   use IlluminateSupportFacadesHash;
   use IlluminateSupportFacadesValidator;
   use IlluminateSupportStr;
   
   class AuthController extends Controller
   {
       public function register(Request $request)
       {
           $validator = Validator::make($request->all(), [
               'name' => 'required|string|max:255',
               'email' => 'required|string|email|max:255|unique:users',
               'password' => 'required|string|min:8'
           ]);
   
           if ($validator->fails()) {
               return response()->json(['errors' => $validator->errors()], 400);
           }
   
           $user = User::create([
               'name' => $request->name,
               'email' => $request->email,
               'password' => Hash::make($request->password),
           ]);
   
           $token = $user->createToken('auth_token')->plainTextToken;
   
           return response()->json([
               'data' => $user,
               'access_token' => $token,
               'token_type' => 'Bearer',
           ]);
       }
   
       public function login(Request $request)
       {
           $validator = Validator::make($request->all(), [
               'email' => 'required|string|email|max:255',
               'password' => 'required|string|min:8'
           ]);
   
           if ($validator->fails()) {
               return response()->json(['errors' => $validator->errors()], 400);
           }
   
           $user = User::where('email', $request->email)->first();
   
           if (!$user || !Hash::check($request->password, $user->password)) {
               return response()->json(['message' => 'Invalid Credentials'], 401);
           }
   
           $token = $user->createToken('auth_token')->plainTextToken;
   
           return response()->json([
               'data' => $user,
               'access_token' => $token,
               'token_type' => 'Bearer',
           ]);
       }
   
       public function logout(Request $request)
       {
           $request->user()->currentAccessToken()->delete();
   
           return response()->json(['message' => 'Successfully logged out']);
       }
   }

   Kode di atas mengimplementasikan logika registrasi, login, dan logout. Perhatikan penggunaan createToken() untuk menghasilkan token API. Token ini kemudian dikirimkan kembali ke klien dan digunakan untuk mengakses rute yang dilindungi oleh middleware auth:sanctum.

Sekarang Anda memiliki sistem autentikasi dasar yang diimplementasikan menggunakan Laravel Sanctum. Anda dapat menguji rute-rute ini menggunakan tools seperti Postman atau Insomnia.

4. Mengamankan Endpoint API dengan Middleware auth:sanctum

Seperti yang kita lihat di bagian sebelumnya, kita menggunakan middleware auth:sanctum untuk melindungi rute /user dan /logout. Middleware ini memastikan bahwa hanya pengguna yang telah diautentikasi yang dapat mengakses rute-rute ini.

Untuk mengamankan endpoint API lainnya, cukup tambahkan middleware auth:sanctum ke rute yang ingin Anda lindungi. Misalnya:

Route::middleware('auth:sanctum')->group(function () {
    Route::get('/products', [ProductController::class, 'index']);
    Route::post('/products', [ProductController::class, 'store']);
    Route::get('/products/{id}', [ProductController::class, 'show']);
    Route::put('/products/{id}', [ProductController::class, 'update']);
    Route::delete('/products/{id}', [ProductController::class, 'destroy']);
});

Dalam contoh di atas, semua rute yang terkait dengan produk (index, store, show, update, delete) dilindungi oleh middleware auth:sanctum. Hanya pengguna yang memiliki token API yang valid yang dapat mengakses rute-rute ini.

5. Menggunakan Ability-Based Tokens untuk Kontrol Akses yang Lebih Granular

Salah satu fitur unggulan dari Laravel Sanctum adalah kemampuan untuk membuat token API dengan “ability” (kemampuan) tertentu. Ini memungkinkan Anda untuk memberikan akses yang lebih granular ke API Anda. Misalnya, Anda dapat membuat token yang hanya dapat digunakan untuk membaca data, bukan untuk menulis atau menghapus data.

Untuk menggunakan ability-based tokens, Anda perlu mendefinisikan kemampuan-kemampuan yang tersedia di aplikasi Anda. Anda dapat melakukannya dengan menambahkan parameter kedua ke metode createToken():

$token = $user->createToken('auth_token', ['read-products'])->plainTextToken;

Dalam contoh di atas, token yang dihasilkan hanya memiliki kemampuan read-products. Untuk memeriksa apakah seorang pengguna memiliki kemampuan tertentu, Anda dapat menggunakan metode tokenCan():

if ($request->user()->tokenCan('read-products')) {
    // Pengguna memiliki kemampuan untuk membaca produk
    $products = Product::all();
    return response()->json($products);
} else {
    // Pengguna tidak memiliki kemampuan untuk membaca produk
    return response()->json(['message' => 'Unauthorized'], 403);
}

Anda juga dapat menggunakan middleware untuk memeriksa kemampuan pengguna sebelum mengizinkan akses ke sebuah rute:

Route::middleware(['auth:sanctum', 'ability:read-products'])->get('/products', [ProductController::class, 'index']);

Middleware ability:read-products akan memastikan bahwa hanya pengguna yang memiliki kemampuan read-products yang dapat mengakses rute /products.

Dengan ability-based tokens, Anda dapat meningkatkan keamanan API Anda secara signifikan dengan memberikan akses yang lebih terbatas kepada pengguna.

6. Integrasi dengan SPA (Single Page Application)

Laravel Sanctum sangat ideal untuk aplikasi SPA (Single Page Application) yang menggunakan JavaScript framework seperti React, Vue.js, atau Angular. Berikut adalah beberapa tips untuk mengintegrasikan Sanctum dengan SPA:

• Gunakan Cookie untuk Autentikasi: Pastikan Anda mengaktifkan dukungan cookie untuk otentikasi di Sanctum dengan menambahkan middleware EnsureFrontendRequestsAreStateful ke grup api di app/Http/Kernel.php.
• Konfigurasi CORS: Konfigurasi CORS (Cross-Origin Resource Sharing) dengan benar untuk mengizinkan permintaan dari domain SPA Anda. Anda dapat melakukannya dengan menggunakan package fruitcake/laravel-cors.
• Kirim CSRF Token: Kirimkan CSRF (Cross-Site Request Forgery) token dengan setiap permintaan POST, PUT, atau DELETE untuk melindungi aplikasi Anda dari serangan CSRF. Anda dapat mengambil CSRF token dari cookie XSRF-TOKEN dan mengirimkannya sebagai header X-XSRF-TOKEN.
• Gunakan Axios atau Fetch API: Gunakan Axios atau Fetch API untuk membuat permintaan ke API Anda. Pastikan Anda menyertakan header Accept: application/json untuk memastikan bahwa respons dikembalikan dalam format JSON.

Berikut adalah contoh kode JavaScript untuk mengirim permintaan POST ke API menggunakan Axios:

import axios from 'axios';

axios.defaults.withCredentials = true; // Penting untuk cookie authentication

axios.post('/api/login', {
    email: '[email protected]',
    password: 'password'
})
.then(response => {
    console.log(response.data);
})
.catch(error => {
    console.error(error);
});

Pastikan axios.defaults.withCredentials = true; diatur agar cookie dikirimkan dengan setiap permintaan.

7. Mengelola Token API: Revoking dan Menghapus Token

Sanctum menyediakan cara untuk mengelola token API. Pengguna dapat mencabut (revoke) atau menghapus token yang tidak lagi dibutuhkan. Ini berguna jika token dicuri atau jika pengguna ingin mengakhiri semua sesi aktif mereka.

Untuk mencabut token saat ini, Anda dapat menggunakan metode currentAccessToken()->delete():

$request->user()->currentAccessToken()->delete();

Untuk mencabut semua token pengguna, Anda dapat menggunakan metode tokens()->delete():

$request->user()->tokens()->delete();

Anda juga dapat memberikan kontrol kepada pengguna untuk mengelola token mereka melalui antarmuka pengguna. Ini memungkinkan pengguna untuk melihat daftar token mereka dan mencabut token individual.

8. Best Practices Keamanan API dengan Laravel Sanctum

Selain menggunakan fitur-fitur keamanan yang disediakan oleh Laravel Sanctum, ada beberapa praktik terbaik (best practices) yang perlu Anda perhatikan untuk memastikan keamanan API Anda:

• Validasi Input: Selalu validasi semua input pengguna untuk mencegah serangan injeksi SQL dan serangan lainnya. Gunakan validator yang disediakan oleh Laravel untuk memvalidasi input dengan benar.
• Sanitasi Output: Sanitasi output untuk mencegah serangan XSS (Cross-Site Scripting). Gunakan fungsi e() untuk mengenkripsi data yang ditampilkan di halaman web.
• Gunakan HTTPS: Selalu gunakan HTTPS untuk mengenkripsi komunikasi antara klien dan server. Pastikan Anda memiliki sertifikat SSL/TLS yang valid.
• Batasi Rate Limiting: Implementasikan rate limiting untuk mencegah serangan brute-force dan serangan DDoS (Distributed Denial-of-Service). Laravel menyediakan middleware throttle yang dapat Anda gunakan untuk membatasi jumlah permintaan dari satu alamat IP.
• Monitor Log: Monitor log aplikasi Anda secara teratur untuk mendeteksi aktivitas yang mencurigakan. Gunakan tools seperti Sentry atau Bugsnag untuk melacak error dan exception.
• Update Laravel dan Package Secara Teratur: Pastikan Anda selalu menggunakan versi terbaru dari Laravel dan package yang Anda gunakan. Update keamanan seringkali dirilis untuk mengatasi kerentanan keamanan.

9. Contoh Kasus: Membuat API Sederhana untuk Manajemen Tugas

Untuk memberikan gambaran yang lebih jelas tentang cara belajar membuat API dengan Laravel Sanctum, mari kita buat contoh kasus sederhana: API untuk manajemen tugas (to-do list).

1. Buat Model dan Migrasi Task:

   php artisan make:model Task -m

   Buka file migrasi dan tambahkan kolom-kolom berikut:

   Schema::create('tasks', function (Blueprint $table) {
       $table->id();
       $table->string('title');
       $table->text('description')->nullable();
       $table->boolean('completed')->default(false);
       $table->foreignId('user_id')->constrained()->onDelete('cascade');
       $table->timestamps();
   });

   Jalankan migrasi:

   php artisan migrate

2. Buat Controller TaskController:

   php artisan make:controller TaskController

3. Implementasikan TaskController:

   <?php
   
   namespace AppHttpControllers;
   
   use AppModelsTask;
   use IlluminateHttpRequest;
   use IlluminateSupportFacadesValidator;
   
   class TaskController extends Controller
   {
       public function index(Request $request)
       {
           $tasks = Task::where('user_id', $request->user()->id)->get();
           return response()->json($tasks);
       }
   
       public function store(Request $request)
       {
           $validator = Validator::make($request->all(), [
               'title' => 'required|string|max:255',
               'description' => 'nullable|string',
           ]);
   
           if ($validator->fails()) {
               return response()->json(['errors' => $validator->errors()], 400);
           }
   
           $task = Task::create([
               'title' => $request->title,
               'description' => $request->description,
               'user_id' => $request->user()->id,
           ]);
   
           return response()->json($task, 201);
       }
   
       public function show(Request $request, $id)
       {
           $task = Task::where('user_id', $request->user()->id)->findOrFail($id);
           return response()->json($task);
       }
   
       public function update(Request $request, $id)
       {
           $validator = Validator::make($request->all(), [
               'title' => 'required|string|max:255',
               'description' => 'nullable|string',
               'completed' => 'boolean',
           ]);
   
           if ($validator->fails()) {
               return response()->json(['errors' => $validator->errors()], 400);
           }
   
           $task = Task::where('user_id', $request->user()->id)->findOrFail($id);
           $task->update($request->all());
   
           return response()->json($task);
       }
   
       public function destroy(Request $request, $id)
       {
           $task = Task::where('user_id', $request->user()->id)->findOrFail($id);
           $task->delete();
   
           return response()->json(['message' => 'Task deleted']);
       }
   }

4. Definisikan Rute API:

   Buka routes/api.php dan tambahkan rute berikut di dalam grup middleware auth:sanctum:

   Route::middleware('auth:sanctum')->group(function () {
       Route::get('/tasks', [TaskController::class, 'index']);
       Route::post('/tasks', [TaskController::class, 'store']);
       Route::get('/tasks/{id}', [TaskController::class, 'show']);
       Route::put('/tasks/{id}', [TaskController::class, 'update']);
       Route::delete('/tasks/{id}', [TaskController::class, 'destroy']);
   });

Sekarang Anda memiliki API sederhana untuk manajemen tugas yang aman dan terlindungi oleh Laravel Sanctum. Setiap pengguna hanya dapat mengakses dan mengelola tugas mereka sendiri.

10. Troubleshooting Masalah Umum dengan Laravel Sanctum

Meskipun Laravel Sanctum relatif mudah digunakan, Anda mungkin menghadapi beberapa masalah umum selama proses implementasi. Berikut adalah beberapa masalah yang sering terjadi dan cara mengatasinya:

• Masalah CORS: Pastikan Anda telah mengkonfigurasi CORS dengan benar untuk mengizinkan permintaan dari domain frontend Anda. Periksa konfigurasi CORS Anda di config/cors.php dan pastikan domain frontend Anda diizinkan.
• CSRF Token Mismatch: Jika Anda mengalami kesalahan “CSRF token mismatch,” pastikan Anda mengirimkan CSRF token dengan setiap permintaan POST, PUT, atau DELETE. Periksa apakah Anda mengambil CSRF token dari cookie XSRF-TOKEN dan mengirimkannya sebagai header X-XSRF-TOKEN.
• Session Cookie Tidak Disimpan: Pastikan Anda mengaktifkan dukungan cookie untuk otentikasi di Sanctum dengan menambahkan middleware EnsureFrontendRequestsAreStateful ke grup api di app/Http/Kernel.php. Pastikan juga axios.defaults.withCredentials = true; diatur di frontend Anda.
• Token Tidak Valid: Pastikan Anda menggunakan token yang benar dan bahwa token tersebut belum dicabut. Periksa apakah Anda menyertakan header Authorization: Bearer {token} dengan benar.
• Masalah Migrasi: Jika Anda mengalami masalah saat menjalankan migrasi, pastikan koneksi database Anda dikonfigurasi dengan benar di file .env.

Jika Anda masih mengalami masalah, periksa dokumentasi Laravel Sanctum dan cari solusi di forum dan komunitas Laravel.

11. Kesimpulan: Integrasi Data yang Aman dan Mudah dengan Laravel Sanctum

Dalam artikel ini, kita telah belajar membuat API dengan Laravel Sanctum secara komprehensif. Kita telah membahas dasar-dasar Sanctum, cara menginstalnya, cara menggunakannya untuk autentikasi, cara mengamankan endpoint API, cara menggunakan ability-based tokens, dan cara mengintegrasikan Sanctum dengan SPA. Kita juga telah membahas beberapa praktik terbaik keamanan API dan cara mengatasi masalah umum.

Laravel Sanctum adalah solusi autentikasi yang kuat dan mudah digunakan yang memungkinkan Anda mengamankan API Anda dengan mudah, terutama untuk aplikasi SPA, mobile, dan sistem yang membutuhkan autentikasi sederhana. Dengan mengikuti panduan dalam artikel ini, Anda dapat dengan mudah belajar membuat API dengan Laravel Sanctum dan mengintegrasikan data dengan lebih aman dan efisien.

Selamat mencoba dan semoga berhasil dalam membangun API yang aman dan handal dengan Laravel Sanctum! Jangan ragu untuk bereksperimen dan menjelajahi fitur-fitur canggih lainnya yang ditawarkan oleh Laravel.