OAuth 1.0

OAuth 1.0 adalah kerangka kerja otorisasi yang memungkinkan aplikasi pihak ketiga mengakses sumber daya yang dilindungi tanpa mengekspos kredensial pengguna. Meskipun sebagian besar telah digantikan oleh OAuth 2.0, OAuth 1.0 masih digunakan oleh beberapa layanan dan API lama.

OAuth 1.0 menggunakan mekanisme tanda tangan untuk memverifikasi integritas dan autentisitas permintaan, bersama dengan timestamp dan nonce untuk mencegah serangan replay. Token dan kunci hanya diketahui oleh aplikasi yang diotorisasi dan penyedia layanan, sehingga memastikan komunikasi yang aman.

Protokol Lama

OAuth 1.0 dianggap sebagai protokol lama. Sebagian besar API modern menggunakan OAuth 2.0. Gunakan OAuth 1.0 hanya ketika diwajibkan oleh penyedia API Anda (misalnya, Twitter API v1.1).

Pengaturan Dasar

Pada halaman Auth, pilih OAuth 1.0 sebagai metode otorisasi dan konfigurasikan parameter berikut:

Parameter	Deskripsi	Tujuan
Lokasi Penambahan	Tempat menyertakan data autentikasi	Pilih `Request Body/Request URL` atau `Request Header`
Metode Tanda Tangan	Algoritma kriptografis	`HMAC-SHA1`, `HMAC-SHA256`, `HMAC-SHA512`, `RSA-SHA1`, `RSA-SHA256`, `RSA-SHA512`, atau `PLAINTEXT`
Consumer Key	Pengidentifikasi aplikasi	ID unik yang ditetapkan oleh penyedia layanan
Consumer Secret	Kunci rahasia aplikasi	Rahasia yang ditetapkan oleh penyedia layanan
Access Token	Token otorisasi pengguna	Token yang diterbitkan setelah pengguna mengotorisasi aplikasi
Token Secret	String rahasia token	Rahasia yang terkait dengan access token untuk pembuatan tanda tangan

Metode Tanda Tangan

Berbasis HMAC: Paling umum, menggunakan rahasia bersama

Berbasis RSA: Menggunakan pasangan kunci publik/pribadi, lebih aman tetapi kompleks

PLAINTEXT: Tidak direkomendasikan untuk produksi (tanpa enkripsi)

Pengaturan Lanjutan

Klik opsi Advanced untuk mengonfigurasi parameter OAuth 1.0 tambahan. Jika dibiarkan kosong, parameter tersebut akan dibuat secara otomatis.

Parameter	Deskripsi	Tujuan
Callback URL	URL pengalihan setelah otorisasi	Tempat pengguna dialihkan setelah mengotorisasi aplikasi
Verifier	Kode verifikasi	String acak untuk memverifikasi otorisasi pengguna (dibuat oleh penyedia layanan)
Timestamp	Timestamp Unix	Mencegah serangan replay dengan menandai waktu permintaan
Nonce	String unik acak	Mencegah serangan replay dengan mengidentifikasi setiap permintaan secara unik
Version	Versi OAuth	Nilai default, biasanya tidak perlu diubah
Realm	Domain keamanan	Mengidentifikasi cakupan sumber daya yang dilindungi

Opsi Tambahan

Sertakan hash body: Jika diaktifkan, menyertakan hash dari body permintaan dalam tanda tangan

Tambahkan parameter kosong ke tanda tangan: Jika diaktifkan, menyertakan parameter kosong dalam perhitungan tanda tangan

Pembuatan Otomatis

Apidog secara otomatis membuat nilai Timestamp dan Nonce jika dibiarkan kosong, sehingga memastikan keamanan yang tepat tanpa konfigurasi manual.

Pengaturan Dasar#

Pengaturan Lanjutan#

Opsi Tambahan#

Pengaturan Dasar

Pengaturan Lanjutan

Opsi Tambahan