Kunci API
Stripe melakukan autentikasi permintaan API Anda menggunakan kunci API akun. Jika permintaan tidak menyertakan kunci yang valid, Stripe akan mengembalikan kesalahan permintaan yang tidak valid. Jika permintaan menyertakan kunci yang dihapus atau kedaluwarsa, Stripe akan mengembalikan kesalahan autentikasi.
Gunakan Dashboard Pengembang untuk membuat, memperlihatkan, menghapus, dan mencabut kunci API. Untuk mengakses kunci API v1 Anda, pilih tab Kunci API di Dashboard.
Mode percobaan versus mode live
Semua permintaan API Stripe terjadi dalam mode percobaan atau live mode. Gunakan mode percobaan untuk mengakses data percobaan, dan mode live untuk mengakses data akun aktual. Objek API dalam satu mode tidak dapat diakses oleh mode lainnya. Misalnya, mode percobaan objek produk tidak dapat menjadi bagian dari pembayaran mode live.
Akses kunci mode live
Anda hanya dapat memperlihatkan kunci API yang dibatasi atau rahasia mode live satu kali. Jika kehilangannya, Anda tidak dapat mengambilnya dari Dashboard. Dalam hal ini, cabut atau hapus kunci dan buat yang baru.
Tipe | Waktu menggunakan | Objek | Cara menggunakan | Pertimbangan |
---|---|---|---|---|
mode percobaan | Gunakan mode percobaan, dan kunci API yang terkait, saat Anda membuat integrasi. Dalam mode percobaan, jaringan kartu dan penyedia pembayaran tidak memproses pembayaran. | API memanggil kembali objek simulasi. Sebagai contoh, Anda dapat mengambil dan menggunakan objek account , payment , customer , charge , refund , transfer , balance , dan subscription percobaan. | Gunakan kartu kredit dan akun percobaan. Anda tidak dapat menerima metode pembayaran aktual atau menggunakan akun aktual. | Identity tidak melakukan pemeriksaan verifikasi. Selain itu, objek akun Connect tidak mengembalikan bidang sensitif. |
mode live | Gunakan mode live, dan kunci API live yang terkait, saat Anda siap meluncurkan integrasi dan menerima uang aktual. Dalam mode live, jaringan kartu dan penyedia pembayaran akan memproses pembayaran. | API memanggil kembali objek aktual. Sebagai contoh, Anda dapat mengambil dan menggunakan objek account , payment , customer , charge , refund , transfer , balance , dan subscription aktual. | Terima kartu kredit aktual dan gunakan akun pelanggan. Anda dapat menerima otorisasi pembayaran, charge, dan penarikan aktual untuk kartu kredit dan akun. | Sengketa memiliki alur yang lebih bernuansa dan proses percobaan yang lebih sederhana. Selain itu, beberapa metode pembayaran memiliki alur yang lebih bernuansa dan memerlukan lebih banyak langkah. |
Kunci rahasia dan kunci yang dapat diterbitkan
Semua akun memiliki total empat kunci API secara default—dua untuk mode percobaan dan dua untuk mode live:
- Kunci rahasia mode percobaan: Gunakan kunci ini untuk mengautentikasi permintaan di server Anda saat dalam mode percobaan. Secara default, Anda dapat menggunakan kunci ini untuk melakukan permintaan API apa pun tanpa batasan.
- Kunci mode percobaan yang dapat dipublikasikan: Gunakan kunci ini untuk tujuan percobaan di kode sisi klien web atau aplikasi seluler Anda.
- Kunci rahasia mode live: Gunakan kunci ini untuk mengautentikasi permintaan di server Anda saat dalam mode live. Secara default, Anda dapat menggunakan kunci ini untuk melakukan permintaan API apa pun tanpa batasan.
- Kunci mode live yang dapat dipublikasikan: Gunakan kunci ini, saat Anda siap meluncurkan aplikasi, di kode sisi klien web atau aplikasi seluler Anda.
Percobaan dan pengembangan
Gunakan hanya kunci API percobaan Anda untuk percobaan dan pengembangan. Ini memastikan bahwa Anda tidak secara tidak sengaja mengubah pelanggan atau tagihan live Anda.
Anda dapat menemukan kunci rahasia dan kunci yang dapat dipublikasikan di halaman kunci API pada Dashboard Pengembang. Saat Anda masuk, dokumentasi Stripe secara otomatis mengisi contoh kode dengan kunci API percobaan Anda. (Hanya Anda yang dapat melihat nilai ini). Jika Anda tidak masuk, contoh kode kami menyertakan kunci API yang dibuat secara acak. Ganti dengan kunci percobaan Anda sendiri atau masuk untuk melihat contoh kode yang diisi dengan kunci API percobaan Anda sendiri. Jika Anda tidak dapat melihat kunci API Anda, mintalah pemilik akun akun Stripe Anda untuk menambahkan Anda ke tim dengan izin yang tepat.
Tabel berikut ini menunjukkan contoh yang dibuat secara acak dari kunci API percobaan yang bersifat rahasia dan dapat dipublikasikan:
Kunci API yang dibatasi
Dashboard juga dapat menyertakan kunci API terbatas, yang memungkinkan akses terbatas yang dapat disesuaikan ke API. Stripe tidak menyediakan kunci terbatas secara default.
Tipe | Nilai | Waktu menggunakan |
---|---|---|
Rahasia | Di sisi server: Harus dirahasiakan dan disimpan dengan aman di kode sisi server web atau aplikasi seluler Anda (seperti dalam variabel lingkungan atau sistem manajemen kredensial) untuk memanggil Stripe API. Jangan memaparkan kunci ini di situs web atau menyematkannya di aplikasi seluler. | |
Dapat diterbitkan | Di sisi client. Dapat diakses secara publik di kode sisi client aplikasi web atau aplikasi seluler Anda (seperti checkout.js) untuk secara aman mengumpulkan informasi pembayaran, seperti dengan Stripe Elements. Secara default, Stripe Checkout secara aman mengumpulkan informasi pembayaran. | |
Dibatasi | String yang dimulai dengan rk_test_ | Dalam layanan mikro: Harus dirahasiakan dan disimpan dengan aman dalam kode layanan mikro Anda untuk memanggil Stripe API. Jangan mengungkapkan kunci ini di situs web atau menyematkannya di aplikasi seluler. |
Simpan kunci Anda dengan aman
Siapa saja dapat menggunakan kunci API rahasia mode live Anda untuk melakukan segala panggilan API atas nama akun Anda, seperti membuat charge atau melakukan pengembalian dana. Tetap amankan kunci Anda dengan mengikuti praktik terbaik kunci API rahasia berikut ini:
Sesuaikan akses API dengan kunci API terbatas
Untuk menyediakan akses terbatas ke API, buat kunci API yang dibatasi. Anda dapat melakukan konfigurasi kunci API yang dibatasi untuk mengizinkan akses baca atau tulis ke sumber daya API tertentu. Ketika menggunakan layanan mikro yang berinteraksi dengan API atas nama Anda, tentukan kunci yang dibatasi dengan izin akses minimum saja yang diperlukan oleh layanan mikro tersebut. Misalnya, jika Anda menggunakan layanan pemantauan sengketa, buat kunci yang dibatasi dengan penyediaan akses baca ke sumber daya terkait sengketa. Kunci itu memungkinkan layanan tersebut mendapatkan data yang dibutuhkan, tetapi tidak mengizinkannya untuk melakukan perubahan atau mengakses data lainnya.
Kunci yang dibatasi tidak dapat berinteraksi dengan banyak bagian API Stripe karena kunci tersebut hanya dimaksudkan untuk mengurangi risiko ketika menggunakan atau membuat layanan mikro. Jangan gunakan kunci yang dibatasi sebagai alternatif untuk kunci API yang dapat diterbitkan atau rahasia selama pengembangan integrasi Stripe Anda.
Kesalahan izin
Jika Anda menggunakan kunci API terbatas pada panggilan yang tidak dapat diakses olehnya, Stripe memunculkan kesalahan izin.
Batasi alamat IP yang dapat mengirim permintaan API
Anda dapat meningkatkan keamanan kunci yang dibatasi atau rahasia dengan membatasi alamat IP yang dapat menggunakannya untuk mengirim permintaan API. Selain itu, Anda dapat membatasi kunci untuk satu atau beberapa alamat IP atau ke rentang alamat IP.
Perlihatkan kunci API rahasia untuk mode percobaan
Dalam mode percobaan, Anda dapat memperlihatkan kunci API rahasia sebanyak yang diinginkan.
Untuk memperlihatkan kunci rahasia dalam mode percobaan:
- Di Dashboard Pengembang, pilih tab kunci API.
- Di daftar Kunci standar, di baris Kunci rahasia, klik Perllihatkan kunci percobaan.
- Salin nilai kunci dengan mengekliknya.
- Simpan nilai kunci.
- Klik Sembunyikan kunci percobaan.
Perlihatkan kunci API yang dibatasi atau rahasia untuk mode live
Demi keamanan, dalam mode live, Stripe hanya menampilkan kunci API yang dibatasi atau rahasia satu kali. Simpan kunci di tempat aman yang tidak akan hilang. Untuk membantu mengingat tempat menyimpannya, Anda dapat meninggalkan catatan pada kunci di Dashboard. Jika kehilangan kunci, Anda dapat mencabut atau menghapusnya serta membuat yang lain.
Anda tidak dapat memperlihatkan kunci rahasia mode live yang Anda buat
Setelah Anda membuat kunci API rahasia atau terbatas dalam mode live, kami menampilkan nilai sebelum Anda menyimpannya. Anda harus menyalin nilai tersebut sebelum menyimpannya, karena Anda tidak dapat memperlihatkannya nanti. Anda hanya dapat memperlihatkan kunci rahasia default atau kunci yang dihasilkan oleh cabut terjadwal.
Untuk memperlihatkan kunci yang dibatasi atau rahasia dalam mode live dan melampirkan catatan:
Catatan
Tautan API keys
di sini terbuka dalam mode live.
- Di Dashboard Pengembang, pilih tab Kunci API.
- Di daftar Kunci standar atau Kunci yang dibatasi, di baris kunci yang ingin Anda perlihatkan, klik Perlihatkan kunci live.
- Salin nilai kunci dengan mengekliknya.
- Simpan nilai kunci.
- Klik Sembunyikan kunci percobaan.
- Klik menu perluasan () di sebelah kunci, kemudian pilih Edit kunci….
- Di bidang Catatan, masukkan lokasi tempat Anda menyimpan kunci, kemudian klik Simpan.
- Jika Anda membuat kunci sebelum Stripe memperkenalkan fitur ini, klik Sembunyikan kunci live.
Catatan
Kunci yang Anda buat sebelum Stripe memperkenalkan fitur ini tidak secara otomatis disembunyikan saat diperlihatkan. Anda harus menyembunyikannya secara manual.
Cabut kunci API
Mencabut kunci akan mencabut kunci tersebut dan menghasilkan kunci pengganti. Anda dapat mencabut kunci dengan segera atau menjadwalkan kunci untuk dicabut setelah waktu tertentu. Cabut kunci dalam skenario seperti dalam contoh berikut:
- Jika Anda berada dalam mode live dan kehilangan kunci yang dibatasi atau rahasia, Anda tidak dapat memulihkannya dari Dashboard serta harus menggantinya.
- Jika kunci yang dibatasi atau rahasia diretas, Anda harus mencabutnya untuk memblokir permintaan API berpotensi berbahaya yang mungkin menggunakannya.
- Kebijakan Anda mengharuskan rotasi kunci pada interval tertentu.
Untuk mencabut kunci API:
- Buka halaman kunci API.
- Di baris untuk kunci yang ingin Anda cabut, klik menu perluasan (), kemudian pilih Cabut kunci….
- Pilih tanggal kedaluwarsa dari menu dropdown Kedaluwarsa.
- Klik Cabut kunci API.
- Dialog menampilkan nilai kunci baru. Salin dengan mengekliknya.
- Simpan nilai kunci. Anda tidak dapat mengambilnya nanti.
- Di bidang Tambahkan catatan, masukkan lokasi tempat Anda menyimpan kunci dan klik Selesai atau Simpan.
Jika Anda memilih Sekarang untuk Kedaluwarsa, kami akan menghapus kunci lama. Jika memilih waktu yang berbeda, Anda dapat melihat sisa waktu hingga kunci tersebut kedaluwarsa di bawah namanya.
Kapan pun waktu kedaluwarsa kunci lama, kunci baru siap digunakan langsung.
Bila Anda mencabut kunci yang dapat diterbitkan, nama kunci penggantinya selalu Publishable key
. Bila Anda mencabut kunci rahasia, nama kunci penggantinya selalu Secret key
. Bila anda mencabut kunci yang dibatasi, nama kunci penggantinya sama dengan kunci yang dicabut. Anda dapat mengganti nama kunci yang dibatasi atau rahasia dengan mengeklik menu perluasan dan memilih Edit kunci….
Hapus kunci API yang dibatasi atau rahasia
Jika Anda menghapus kunci, kode yang menggunakan kunci tersebut tidak lagi dapat melakukan panggilan API. Buat kunci baru dan perbarui kode untuk menggunakannya.
Catatan
Anda tidak dapat menghapus kunci yang dapat dipublikasikan.
Untuk menghapus kunci:
- Di Dashboard Pengembang, pilih tab kunci API.
- Temukan kunci yang ingin Anda hapus di daftar Kunci standar atau Kunci yang dibatasi. Klik ikon menu perluasan () di baris kunci tersebut, kemudian pilih Hapus kunci ….
- Di dialog Hapus kunci API, jika Anda yakin ingin menghapus kunci, klik Hapus kunci. Jika tidak, klik Batalkan.
Buat kunci API rahasia
Untuk membuat kunci API rahasia:
- Buka halaman kunci API.
- Klik Buat kunci rahasia.
- Stripe mengirim kode verifikasi ke alamat email Anda atau dalam pesan teks. (Sebagaimana email atau pesan teks lain, kode mungkin tidak langsung diterima.) Masukkan kode dalam dialog. Jika dialog tidak berlanjut secara otomatis, klik Lanjutkan.
- Masukkan nama di bidang Nama kunci.
- Klik Buat.
- Dialog menampilkan nilai kunci baru. Salin dengan mengekliknya.
- Simpan nilai kunci. Anda tidak dapat mengambilnya nanti.
- Di bidang Tambahkan catatan, masukkan lokasi tempat Anda menyimpan kunci dan klik Selesai.
Buat kunci API yang dibatasi
Kunci API yang dibatasi hanya mengizinkan tingkat akses yang Anda tentukan.
Untuk membuat kunci API yang dibatasi:
- Buka halaman kunci API.
- Anda dapat membuat kunci yang dibatasi dari nol atau memulai dengan melakukan kloning kunci tersedia yang dibatasi.
- Untuk membuat kunci yang dibatasi dari nol, klik Buat kunci yang dibatasi. Dalam kasus ini, nilai default untuk semua izin adalah Tidak ada.
- Untuk melakukan kloning kunci yang sudah ada, di baris untuk kunci yang ingin Anda kloning, klik menu perluasan (), kemudian pilih Buat duplikat kunci…. Dalam kasus ini, nilai default untuk setiap izin adalah nilainya di kunci yang dikloning.
- Di bidang Nama kunci, masukkan nama. Jika Anda menggandakan kunci yang sudah ada, nama default adalah nama kunci yang digandakan.
- Bagi setiap sumber daya yang Anda inginkan untuk diakses oleh kunci baru, pilih izin yang diperbolehkan untuk kunci ini. Jika menggunakan Connect, Anda juga dapat memilih izin yang diperbolehkan untuk kunci ini ketika mengakses akun terhubung. Izin yang tersedia adalah Tidak ada, Baca, atau Tulis.
- Klik Buat kunci.
- Stripe mengirim kode verifikasi ke alamat email Anda atau dalam pesan teks. (Sebagaimana email atau pesan teks lain, kode mungkin tidak langsung diterima.) Masukkan kode dalam dialog. Jika dialog tidak berlanjut secara otomatis, klik Lanjutkan.
- Dialog menampilkan nilai kunci baru. Salin dengan mengekliknya.
- Simpan nilai kunci. Anda tidak dapat mengambilnya nanti.
- Di bidang Tambahkan catatan, masukkan lokasi tempat Anda menyimpan kunci dan klik Selesai.
Batasi kunci yang dibatasi atau rahasia pada daftar atau rentang alamat IP
Untuk membatasi permintaan API menggunakan kunci ke satu atau beberapa alamat IP tertentu atau ke rentang alamat IP:
Rentang alamat IP yang valid
Jika Anda menentukannya, rentang alamat IP hanya dapat menjangkau bita keempat dari alamat tersebut. Semua alamat di rentang tersebut harus memiliki tiga bita pertama yang sama. Sebagai contoh, rentang yang valid adalah 100.10.38.1 - 100.10.38.12
, yang ditentukan sebagai 100.10.38.1/12
. Semua alamat di rentang tersebut harus dimulai dengan 100.10.38
.
- Buka halaman kunci API.
- Di daftar Kunci standar atau Kunci terbatas, di baris kunci yang ingin Anda perlihatkan, klik menu perluasan (), lalu pilih Kelola pembatasan IP….
- Klik Batasi alamat IP yang dapat menggunakan kunci API.
- Masukkan daftar atau rentang alamat IP:
- Untuk daftar alamat IP, masukkan alamat IP pertama di bidang. Untuk setiap alamat IP tambahan, klik + Tambah alamat IP dan masukkan alamatnya.
- Untuk rentang alamat IP, klik CIDR, kemudian masukkan rentang dalam notasi Classless Inter-Domain Routing (CIDR). Di tiga bidang pertama, masukkan tiga angka pertama dari alamat IP dalam rentang tersebut. Di bidang keempat dan kelima, masukkan angka keempat dari masing-masing alamat pertama dan terakhir di rentang tersebut.
- Klik Simpan.
Jalan pintas
Tekan Ctrl+V atau ⌘+V dengan alamat IP yang valid di clipboard Anda untuk memasukkan teks ke semua bidang.
Ubah nama atau catatan kunci API yang dibatasi atau rahasia
Untuk mengubah nama atau teks catatan dari kunci yang dibatasi atau rahasia:
- Buka halaman kunci API.
- Di baris untuk kunci yang ingin Anda ubah, klik menu perluasan (), kemudian pilih Edit kunci….
- Jika Anda ingin mengubah nama, di Nama kunci, masukkan nama baru.
- Jika Anda ingin mengubah teks catatan, di Catatan, masukkan teks catatan baru.
- Klik Simpan.
Lihat log permintaan API
Untuk membuka log permintaan API, klik menu perluasan () untuk mendapat kunci, kemudian pilih Lihat log permintaan. Membuka log akan mengarahkan Anda ke Dashboard Stripe utama.