Beranda api keamanan pengembangan teknologi

Perbedaan Sanctum dan JWT: Pilih Mana untuk Autentikasi API-mu?

Updated: 0 min read
Table of Contents

perbedaan sanctum dan jwt
Image just for illustration

Saat membangun API (Application Programming Interface) untuk aplikasi web atau mobile, salah satu aspek krusial yang harus dipikirkan matang-matang adalah autentikasi. Autentikasi adalah proses verifikasi identitas pengguna yang mencoba mengakses sumber daya di API kita. Tanpa autentikasi yang kuat, data bisa diakses sembarangan oleh pihak yang tidak berwenang, dan ini tentu sangat berbahaya. Di ekosistem pengembangan web modern, khususnya di dunia PHP dengan framework Laravel, ada dua pendekatan populer untuk autentikasi API berbasis token: JWT (JSON Web Tokens) dan Laravel Sanctum. Keduanya punya tujuan yang sama, yaitu memberikan cara aman bagi klien (browser, aplikasi mobile) untuk berkomunikasi dengan server setelah pengguna login. Namun, cara kerja dan skenario penggunaan terbaiknya bisa sangat berbeda, lho.

Memahami Authentication API Secara Umum

Secara garis besar, autentikasi API berbasis token menggantikan penggunaan session tradisional yang umumnya dipakai di aplikasi web monolith. Dengan session, server perlu menyimpan informasi tentang status login setiap pengguna di sisi server. Ini bisa jadi tantangan saat kita membangun aplikasi yang skalabel atau dengan arsitektur microservice, karena server harus tahu status sesi pengguna di mana pun permintaan itu diproses.

Token authentication menawarkan solusi stateless (atau mendekati stateless), di mana server tidak perlu menyimpan status sesi pengguna secara terus-menerus setelah token dikeluarkan. Setelah pengguna login dan berhasil diverifikasi, server mengeluarkan sebuah token yang unik dan memberikannya ke klien. Setiap kali klien ingin mengakses sumber daya yang dilindungi di API, klien akan menyertakan token ini dalam permintaan (misalnya, di header Authorization). Server kemudian memvalidasi token tersebut untuk memastikan permintaan datang dari pengguna yang sah. Jika valid, permintaan dilanjutkan; jika tidak, permintaan ditolak.

Pendekatan token ini sangat cocok untuk API yang diakses oleh berbagai jenis klien: aplikasi web single-page application (SPA) menggunakan JavaScript (seperti Vue, React, Angular), aplikasi mobile (Android/iOS), atau bahkan aplikasi backend lainnya yang saling berkomunikasi. JWT dan Sanctum adalah dua cara populer untuk mengimplementasikan mekanisme token authentication ini, tapi dengan filosofi dan implementasi yang berbeda.

Mengenal JWT (JSON Web Tokens)

JWT, singkatan dari JSON Web Tokens, adalah sebuah standar terbuka (RFC 7519) untuk membuat token yang aman yang mendefinisikan cara yang kompak dan mandiri untuk mentransfer informasi antarpihak sebagai objek JSON. Token ini terdiri dari tiga bagian yang dipisahkan oleh titik (.): Header, Payload, dan Signature. Header biasanya berisi tipe token (JWT) dan algoritma hashing yang digunakan (misalnya, HMAC SHA256 atau RSA). Payload berisi “klaim” (claims), yaitu pernyataan tentang entitas (misalnya, pengguna) dan metadata tambahan. Klaim ini bisa berupa klaim standar (seperti iss - issuer, exp - expiration time, sub - subject) atau klaim kustom yang kita definisikan sendiri (misalnya, user_id, role). Bagian terakhir, Signature, digunakan untuk memverifikasi bahwa token belum diubah di tengah jalan dan memastikan bahwa itu benar-benar berasal dari pengirim yang kita harapkan. Signature ini dibuat menggunakan Header, Payload, dan sebuah secret key yang hanya diketahui oleh server.

Bagaimana JWT Bekerja?

Ketika seorang pengguna berhasil login menggunakan kredensial mereka (username/password), server akan membuat sebuah JWT. Token ini berisi informasi identitas pengguna (misalnya, ID pengguna) dalam bagian Payload, bersama dengan informasi lain seperti waktu kedaluwarsa token. Server kemudian menandatangani token ini menggunakan secret key yang kuat.

Setelah token terbentuk, server mengirimkannya kembali ke klien. Klien akan menyimpan token ini (misalnya, di local storage atau cookies) dan menyertakannya dalam setiap permintaan selanjutnya ke API yang membutuhkan otentikasi, biasanya di header Authorization dengan skema Bearer. Ketika server menerima permintaan dengan token JWT, server akan mengambil token tersebut, memisahkan bagian Header, Payload, dan Signature. Server kemudian menghitung ulang Signature menggunakan Header dan Payload yang diterima, serta secret key yang sama.

Jika Signature yang dihitung ulang cocok dengan Signature yang ada di token, server yakin bahwa token itu valid, belum diubah, dan dikeluarkan oleh dirinya sendiri. Server kemudian dapat membaca informasi dari Payload (misalnya, ID pengguna) untuk mengidentifikasi pengguna yang membuat permintaan dan memeriksa apakah pengguna tersebut memiliki izin untuk mengakses sumber daya yang diminta. Proses validasi ini stateless karena server tidak perlu menyimpan data token atau sesi pengguna di basis datanya; semua informasi yang dibutuhkan ada di dalam token itu sendiri.

Kelebihan JWT

Salah satu kelebihan terbesar JWT adalah sifatnya yang stateless. Server tidak perlu menyimpan data sesi atau token yang dikeluarkan. Ini membuatnya ideal untuk arsitektur microservice di mana permintaan dari pengguna bisa diproses oleh instance server yang berbeda-beda. Semua informasi yang diperlukan untuk memvalidasi token ada di dalam token itu sendiri (kecuali secret key).

JWT juga portable dan bisa digunakan lintas platform dan bahasa pemrograman. Karena JWT adalah standar terbuka, banyak library tersedia di berbagai bahasa (PHP, Node.js, Python, Java, dll.) untuk membuat dan memvalidasi JWT. Ini memudahkan integrasi dengan sistem lain atau klien yang dibangun dengan teknologi berbeda. JWT juga ringkas dan bisa dengan mudah disertakan dalam header HTTP.

Kekurangan JWT

Meskipun stateless, kekurangan utama JWT terletak pada keamanan dan manajemen token. Jika token JWT jatuh ke tangan yang salah, token tersebut bisa digunakan oleh attacker hingga waktu kedaluwarsanya tiba, karena server tidak punya cara bawaan untuk membatalkan token JWT secara instan (revocation) tanpa modifikasi tambahan. Untuk membatalkan token sebelum waktunya, kita perlu menyimpan daftar token yang sudah dibatalkan di server (misalnya, di cache seperti Redis), yang sedikit mengurangi sifat stateless-nya.

Informasi di Payload JWT tidak dienkripsi, hanya di-encode (Base64). Artinya, informasi di dalamnya bisa dibaca oleh siapa saja yang memiliki token tersebut. Oleh karena itu, jangan pernah menyimpan informasi sensitif di dalam Payload JWT. JWT juga bisa menjadi cukup besar jika Payload-nya berisi banyak klaim, yang dapat meningkatkan ukuran header permintaan HTTP. Mengelola waktu kedaluwarsa (exp) JWT juga krusial; jika terlalu lama, risiko penyalahgunaan meningkat; jika terlalu singkat, pengguna harus login ulang terlalu sering atau kita perlu mengimplementasikan refresh token yang menambah kompleksitas.

Kapan Pakai JWT?

JWT sangat cocok untuk skenario aplikasi stateless, arsitektur microservice, dan Single Sign-On (SSO). Dalam arsitektur microservice, JWT memungkinkan layanan yang berbeda untuk memvalidasi identitas pengguna tanpa harus berkomunikasi dengan layanan autentikasi pusat untuk setiap permintaan. Untuk SSO, JWT bisa digunakan untuk mentransfer identitas pengguna antaraplikasi atau domain yang berbeda setelah pengguna login sekali. Jika proyek kamu melibatkan banyak layanan backend non-Laravel atau butuh fleksibilitas tinggi di berbagai platform, JWT mungkin pilihan yang tepat.

Mengenal Laravel Sanctum

Laravel Sanctum (sebelumnya dikenal sebagai Laravel Airlock) adalah sebuah paket resmi yang disediakan oleh tim Laravel untuk mengimplementasikan sistem autentikasi ringan untuk SPA (Single Page Applications), aplikasi mobile, dan API berbasis token sederhana. Sanctum dirancang khusus untuk mempermudah proses autentikasi di ekosistem Laravel. Sanctum menyediakan dua cara utama untuk autentikasi: API Tokens dan SPA Authentication.

Bagaimana Sanctum Bekerja?

Untuk API Tokens, Sanctum memungkinkan pengguna membuat token API multiple untuk akun mereka. Setiap token disimpan di database dan terkait dengan user tertentu. Ketika klien (misalnya, aplikasi mobile atau aplikasi backend lain) membuat permintaan ke API, klien menyertakan token ini di header Authorization sebagai Bearer token. Sanctum akan mencocokkan token yang diterima dengan token yang ada di database, menemukan pengguna yang sesuai, dan mengotentikasinya. Kelebihan pendekatan ini adalah token bisa dengan mudah dicabut (revoked) dari database, membuatnya lebih aman daripada JWT dalam hal pembatalan token.

Untuk SPA Authentication, Sanctum menggunakan mekanisme berbasis cookies dan session, tapi dengan sentuhan modern yang ramah API. Saat aplikasi SPA (yang berjalan di domain berbeda dari API Laravel backend) login, Sanctum akan mengatur cookie autentikasi di browser. Permintaan selanjutnya dari SPA ke API Laravel akan menyertakan cookie ini secara otomatis. Sanctum kemudian akan memvalidasi cookie ini seperti session tradisional. Untuk mencegah serangan CSRF (Cross-Site Request Forgery), Sanctum juga memanfaatkan header X-CSRF-TOKEN yang harus disertakan oleh SPA dalam setiap permintaan non-GET. Mekanisme ini memanfaatkan fitur bawaan browser dan lebih sederhana untuk dikelola daripada manual token management di SPA.

Kelebihan Sanctum

Kelebihan utama Sanctum adalah kemudahan integrasinya dengan Laravel. Jika proyek backend kamu sepenuhnya menggunakan Laravel, Sanctum menawarkan pengalaman developer yang sangat seamless. Konfigurasi dan implementasinya jauh lebih cepat dibandingkan mengintegrasikan library JWT pihak ketiga. Sanctum juga menyediakan fitur pengelolaan token API secara built-in, termasuk kemampuan untuk memberikan capabilities (atau scopes) berbeda untuk setiap token dan mencabut token kapan saja. Ini memberikan kontrol yang lebih granular atas akses API.

Fitur SPA Authentication Sanctum adalah solusi yang sangat elegan dan aman untuk menghubungkan SPA JavaScript dengan backend Laravel, mengatasi banyak kerumitan yang mungkin timbul saat menggunakan token murni (seperti JWT) dalam skenario cross-domain. Dengan menggunakan cookie dan CSRF, Sanctum memanfaatkan mekanisme keamanan bawaan browser dan sesi Laravel yang sudah matang.

Kekurangan Sanctum

Kekurangan utama Sanctum adalah keterikatannya dengan Laravel. Sanctum dirancang untuk bekerja dengan aplikasi backend yang dibangun menggunakan framework Laravel. Meskipun token API yang dikeluarkan Sanctum bisa digunakan oleh klien non-Laravel (seperti aplikasi mobile atau frontend non-Laravel), validasi token hanya bisa dilakukan dengan mudah di aplikasi backend Laravel. Jika kamu memiliki arsitektur microservice dengan layanan backend yang dibangun dengan teknologi selain Laravel, menggunakan Sanctum untuk autentikasi antar-layanan akan menjadi rumit atau tidak mungkin.

Mekanisme SPA Authentication Sanctum juga bergantung pada fitur cookie dan sesi browser, yang berarti tidak cocok untuk aplikasi mobile native atau klien non-browser lainnya. Untuk klien tersebut, kamu harus menggunakan fitur API Tokens-nya. Selain itu, fitur SPA Authentication-nya memerlukan konfigurasi CORS (Cross-Origin Resource Sharing) yang tepat jika backend API dan frontend SPA berada di domain yang berbeda.

Kapan Pakai Sanctum?

Sanctum adalah pilihan terbaik jika proyek kamu adalah Single Page Application (SPA) yang backend-nya menggunakan Laravel, atau jika kamu membangun API backend untuk aplikasi mobile dengan Laravel, atau hanya membutuhkan API token authentication yang sederhana dan mudah dikelola di Laravel. Jika seluruh ekosistem backend kamu berada di dalam Laravel dan kamu tidak berencana untuk berinteraksi dengan layanan non-Laravel di level autentikasi token, Sanctum adalah solusi yang paling straightforward dan direkomendasikan.

Perbandingan Langsung: Sanctum vs. JWT

Mari kita rangkum perbedaan kunci antara Laravel Sanctum dan JWT:

Mekanisme Otentikasi

  • JWT: Menggunakan token self-contained yang berisi informasi identitas dan ditandatangani. Server memvalidasi token dengan memverifikasi tanda tangan menggunakan secret key. Validasi bersifat stateless.
  • Sanctum (API Tokens): Menggunakan token yang disimpan di database server. Server memvalidasi token dengan mencocokkan token yang diterima dari klien dengan token di database. Validasi bersifat stateful (memerlukan akses database).
  • Sanctum (SPA Authentication): Menggunakan cookie dan sesi tradisional, dikombinasikan dengan mekanisme CSRF token untuk keamanan di lingkungan cross-domain. Validasi bersifat stateful (memerlukan akses data sesi/cookie di server).

Statefulness vs. Statelessness

  • JWT: Stateless. Server tidak perlu menyimpan informasi tentang token setelah dikeluarkan.
  • Sanctum (API Tokens & SPA Authentication): Stateful. API Tokens memerlukan lookup ke database untuk validasi. SPA Authentication memerlukan akses ke data sesi/cookie di server.

Pengelolaan Token

  • JWT: Pembatalan token sebelum waktunya (revocation) memerlukan implementasi tambahan (misalnya, daftar hitam token di Redis). Pengelolaan waktu kedaluwarsa penting untuk membatasi masa aktif token.
  • Sanctum (API Tokens): Pembatalan token sangat mudah hanya dengan menghapus entri token dari database. Pengelolaan capabilities per token juga built-in.
  • Sanctum (SPA Authentication): Mengandalkan mekanisme sesi tradisional, pembatalan sama dengan menghancurkan sesi pengguna, yang mudah dilakukan di Laravel.

Dukungan Framework

  • JWT: Framework-agnostic. Bisa diimplementasikan di backend manapun dengan library JWT yang tersedia. Ideal untuk interoperabilitas antar sistem yang berbeda teknologi.
  • Sanctum: Laravel-specific. Dirancang dan bekerja paling baik di dalam ekosistem Laravel. Validasi token API dan fitur SPA Authentication-nya sangat terintegrasi dengan fitur Laravel.

Penggunaan Umum

  • JWT: Ideal untuk arsitektur microservice, Single Sign-On (SSO), dan API publik yang diakses oleh beragam jenis klien dan backend.
  • Sanctum: Ideal untuk Single Page Application (SPA) dengan backend Laravel, aplikasi mobile dengan backend Laravel, dan API sederhana di mana backend-nya hanya menggunakan Laravel.

Keamanan

  • JWT: Rentan terhadap penyalahgunaan jika secret key bocor. Payload tidak dienkripsi (hanya di-encode). Revocation perlu diimplementasikan secara terpisah. Aman jika ditangani dengan benar (key management, expiry time, tidak menyimpan data sensitif di payload).
  • Sanctum (API Tokens): Lebih mudah dikelola dari sisi keamanan karena token bisa dicabut instan. Token disimpan di database (perlu proteksi database).
  • Sanctum (SPA Authentication): Menggunakan mekanisme cookie dan CSRF yang sudah mapan di web, menawarkan perlindungan bawaan terhadap serangan umum pada SPA jika dikonfigurasi dengan benar.

Tabel Perbandingan Singkat

Agar lebih mudah memvisualisasikan perbedaannya, ini tabel rangkuman:

Fitur JWT (JSON Web Tokens) Laravel Sanctum (API Tokens) Laravel Sanctum (SPA Auth)
Mekanisme Auth Token self-contained (Signature) Token di Database Cookie & Session (+ CSRF)
Statefulness Stateless Stateful Stateful
Revocation Perlu implementasi tambahan (blacklist) Built-in, hapus dari DB Built-in (session destroy)
Framework Framework-agnostic Laravel-specific Laravel-specific
Payload Data Visible (encoded), JANGAN data sensitif Tidak ada payload yang terlihat di token Data di sisi server (session)
Ukuran Token Bisa besar tergantung payload String pendek Tidak ada token yang dikirim per request
Kapan Digunakan? Microservices, SSO, Public API Mobile App Backend, Simple API SPA Frontend dengan Laravel Backend

Tips Memilih Antara Sanctum dan JWT

Memilih antara Sanctum dan JWT bergantung pada kebutuhan spesifik proyek kamu:

  1. Jika backend kamu 100% Laravel dan kamu membuat SPA dengan frontend JavaScript (Vue, React, Angular, dll.) yang berjalan di domain berbeda, Sanctum dengan fitur SPA Authentication adalah pilihan paling seamless dan direkomendasikan. Konfigurasinya minim dan memanfaatkan kekuatan Laravel.
  2. Jika kamu membangun API backend untuk aplikasi mobile dan backend-nya adalah Laravel, Sanctum dengan fitur API Tokens adalah solusi yang sangat bagus. Pengelolaan token (generate, revoke, capabilities) sangat mudah.
  3. Jika kamu memiliki arsitektur microservice di mana layanan backend dibangun dengan berbagai teknologi (PHP, Node.js, Python, dll.) dan mereka perlu saling berotentikasi, atau kamu butuh Single Sign-On (SSO) di banyak aplikasi/domain yang berbeda teknologi, maka JWT adalah pilihan yang lebih tepat karena sifatnya yang framework-agnostic dan stateless.
  4. Jika kamu butuh kontrol granular atas setiap token API dan kemampuan untuk mencabutnya kapan saja dengan mudah, Sanctum (API Tokens) menawarkan fitur built-in untuk ini. Pada JWT, ini memerlukan implementasi tambahan.
  5. Jika tim kamu sudah sangat familiar dengan ekosistem Laravel, Sanctum akan terasa lebih natural dan mudah diimplementasikan. Jika tim kamu lebih berpengalaman dengan berbagai platform dan membutuhkan interoperabilitas yang luas, JWT mungkin lebih pas.

Ingat, tidak ada solusi yang satu ukuran untuk semua. Pilihan terbaik tergantung pada konteks proyek, arsitektur, dan kebutuhan spesifikmu.

Fakta Menarik

  • JWT pertama kali diperkenalkan sekitar tahun 2010-2011 dan menjadi standar resmi RFC 7519 pada tahun 2015. Ini menunjukkan kematangan dan adopsi yang luas di industri.
  • Sebelum Sanctum, komunitas Laravel sering menggunakan paket JWT pihak ketiga (seperti tymon/jwt-auth) untuk mengimplementasikan autentikasi JWT di Laravel. Sanctum hadir sebagai solusi first-party yang lebih terintegrasi, terutama untuk SPA dan mobile.
  • Meskipun Sanctum menggunakan token yang disimpan di database, validasi tokennya tetap sangat cepat karena Laravel secara efisien mengambil data token berdasarkan nilai token yang unik yang dikirim oleh klien.
  • Konsep claims dalam payload JWT sangat fleksibel dan bisa diperluas untuk menyimpan informasi apa pun yang relevan tentang pengguna atau token, asalkan tidak sensitif. Ini salah satu kekuatan utama JWT untuk skenario seperti SSO.

Kesimpulan: Mana Pilihanmu?

Baik Laravel Sanctum maupun JWT adalah solusi autentikasi berbasis token yang valid dan banyak digunakan. JWT menawarkan fleksibilitas framework-agnostic dan cocok untuk arsitektur terdistribusi dan SSO, meskipun manajemen token (revocation) memerlukan perhatian ekstra. Di sisi lain, Laravel Sanctum menyediakan solusi yang sangat terintegrasi, mudah dikelola, dan aman untuk proyek-proyek yang didominasi Laravel, terutama SPA dan aplikasi mobile, dengan keunggulan built-in dalam manajemen dan pencabutan token.

Pilihan kembali ke kebutuhan proyekmu. Evaluasi arsitektur, jenis klien yang akan mengakses API, kebutuhan interoperabilitas, dan skill set tim. Semoga penjelasan ini membantu kamu membuat keputusan yang tepat!

Yuk, diskusi! Punya pengalaman pakai Sanctum atau JWT? Atau ada pertanyaan lebih lanjut? Bagikan di kolom komentar!

Posting Komentar