Cara Membuat & Memakai API Key

Untuk siapa panduan ini

Panduan ini untuk developer atau tim teknis pada akun Bisnis (B2B) dan Pemerintah (B2G). API key dipakai supaya sistemmu sendiri — CRM, website, aplikasi internal — bisa "memanggil" platform: mengirim pesan, membaca percakapan, dan lainnya.

Pakai panduan ini saat: kamu ingin sistem lain yang kamu kelola berinteraksi otomatis dengan platform tanpa membuka dashboard. Kalau kamu hanya memakai dashboard sehari-hari, fitur ini opsional.

Yang perlu disiapkan

• Sistem tujuan yang akan memakai kunci (CRM, ERP, website, atau aplikasi internal).
• Akses sisi server sistem itu — kunci API harus disimpan di server, bukan di kode yang bisa dilihat publik.
• Pemahaman dasar cara memanggil sebuah API (HTTP request, header) — atau bantuan rekan developer.

Apa itu API key. API key adalah token rahasia yang mewakili akunmu. Siapa pun yang memegangnya bisa mengakses platform atas namamu — jadi perlakukan seperti kata sandi.

Mengenal halaman API Keys

Semua kunci API dikelola di satu halaman: API Keys. Perhatikan gambar di bawah. Yang perlu kamu kenali:

• Tombol buat kunci baru di pojok kanan atas — titik mulai membuat kunci.
• Daftar kunci di tengah — tiap kunci punya nama, dan bisa dicabut kapan saja.

Langkah 1 — Buka halaman API Keys

Pada sidebar kiri, cari grup menu DEVELOPER, lalu klik API Keys. Halaman terbuka menampilkan daftar kunci yang sudah ada (kalau belum ada, daftarnya kosong).

Langkah 2 — Buat kunci baru

Klik tombol buat kunci baru di pojok kanan atas. Beri nama yang menjelaskan kegunaannya — misalnya Integrasi CRM atau Website Toko. Nama ini hanya untukmu; gunanya supaya mudah dilacak dan dicabut kalau perlu nanti.

Langkah 3 — Salin & simpan kunci dengan aman

Setelah dibuat, kunci ditampilkan sekali saja — tidak bisa dilihat lagi setelah jendela ditutup. Segera salin dan simpan di tempat aman, misalnya pengaturan rahasia (secret/environment variable) di server sistemmu.

⚠️ Penting: kalau kunci hilang sebelum sempat disalin, kamu tidak bisa melihatnya lagi — cabut kunci itu dan buat yang baru.

Langkah 4 — Pakai kunci untuk memanggil platform

Di sistemmu, sertakan kunci pada header Authorization setiap kali memanggil API platform. Contoh — sebuah CRM mengirim pesan WhatsApp ke pelanggan saat sales menandai lead "follow-up":

Daftar lengkap endpoint, header, dan format respons ada di halaman API Reference.

Cara tahu berhasil

Kuncimu bekerja benar bila:

• Kunci muncul di daftar halaman API Keys dengan nama yang kamu beri.
• Pemanggilan API dari sistemmu memakai kunci itu mendapat respons sukses (kode 2xx) — misalnya pesan benar-benar terkirim ke pelanggan.
• Pemanggilan tanpa kunci atau dengan kunci yang sudah dicabut ditolak (kode 401).

Tips

• Satu kunci per integrasi. Beri nama jelas tiap kunci (CRM, website, aplikasi A) — kalau salah satu bocor, kamu cabut yang itu saja tanpa mengganggu integrasi lain.
• Simpan di sisi server. Jangan pernah menaruh kunci di kode frontend, repositori publik, atau aplikasi yang bisa dibongkar pengguna.
• Cabut segera bila dicurigai bocor. Kunci yang dicabut langsung berhenti berfungsi — buat kunci baru lalu perbarui di sistemmu.

Masalah umum

• Pemanggilan ditolak 401 — kunci salah ketik, sudah dicabut, atau tidak diawali Bearer pada header Authorization.
• Kunci tidak sempat disalin — tidak bisa dilihat lagi; cabut kunci itu dan buat baru.
• Menu API Keys tidak terlihat — fitur Developer hanya untuk akun Bisnis dan Pemerintah.