🔐 Belajar
Autentikasi & Otorisasi

Media Pembelajaran Interaktif Berbasis AI

🎓 7 Materi 🤖 AI Tutor 🧪 Simulasi 🏆 Kuis

🔑

Materi 1

Definisi Dasar

Apa itu Autentikasi & Otorisasi?

⚔️

Materi 2

Perbedaan Utama

Tabel perbandingan lengkap

✈️

Materi 3

Analogi Bandara

Contoh nyata di kehidupan sehari-hari

🛒

Materi 4

Toko Online

Simulasi login & akses produk

📝

Materi 5

Ujian Online

Verifikasi peserta & izin soal

⚙️

Materi 6

Backend API

JWT, middleware & role-based access

🤖

Materi 7

AI Tutor + Kuis

Tanya AI & uji pemahamanmu!

Materi 1 dari 7

🔐

Autentikasi

Proses memverifikasi SIAPA seseorang. Memastikan bahwa pengguna adalah benar-benar siapa yang mereka klaim.

🛡️

Otorisasi

Proses menentukan APA YANG BOLEH dilakukan seseorang setelah identitasnya diverifikasi.

🔐 Autentikasi (Authentication)

Autentikasi adalah proses verifikasi identitas pengguna, perangkat, atau sistem. Kata "autentikasi" berasal dari bahasa Yunani authentikos yang berarti "nyata" atau "asli".

Dalam dunia digital, autentikasi menjawab pertanyaan: "Apakah kamu benar-benar siapa yang kamu klaim?"

          📌 Definisi Resmi (NIST SP 800-63): Autentikasi adalah proses verifikasi klaim identitas seseorang atau sesuatu. Ini adalah langkah pertama dalam proses keamanan sebelum memberikan akses ke sistem.
        

Metode autentikasi yang umum digunakan:

🔑 Sesuatu yang kamu TAHU

Password, PIN, pertanyaan keamanan — informasi rahasia yang hanya kamu ketahui.

📱 Sesuatu yang kamu MILIKI

OTP via SMS, token fisik, kunci USB, authenticator app — benda atau perangkat yang ada padamu.

👁️ Sesuatu yang KAMU SENDIRI

Sidik jari, wajah, retina mata, suara — biometrik yang unik untuk setiap individu.

🛡️ Otorisasi (Authorization)

Otorisasi adalah proses menentukan hak akses yang dimiliki pengguna yang telah terautentikasi. Otorisasi menentukan apa yang boleh dan tidak boleh dilakukan dalam sebuah sistem.

Otorisasi menjawab pertanyaan: "Apa yang boleh kamu lakukan di sini?"

          📌 Definisi Resmi (OWASP): Otorisasi adalah proses penentuan apakah suatu entitas (pengguna, sistem, atau proses) diizinkan untuk melakukan aksi tertentu pada sumber daya tertentu.
        

👑

Admin

Akses penuh — baca, tulis, hapus semua data

✏️

Editor

Bisa baca dan tulis, tapi tidak bisa hapus

👁️

Viewer

Hanya bisa melihat, tidak bisa mengubah

🚫

Guest

Akses sangat terbatas atau tidak ada

💡

Cara Mudah Mengingat!

Authentication = Login (membuktikan SIAPA kamu)
Authorization = Permission/Izin (menentukan APA yang boleh kamu lakukan)

🔑 Autentikasi → "Prove who you are!"
🛡️ Otorisasi → "Here's what you can do."

Materi 2 dari 7

📊 Tabel Perbedaan Utama

Aspek	🔐 Autentikasi	🛡️ Otorisasi
Pertanyaan	Siapa kamu?	Apa yang boleh kamu lakukan?
Urutan	Pertama (langkah 1)	Kedua (setelah autentikasi)
Tujuan	Verifikasi identitas	Menentukan hak akses
Data yang digunakan	Password, biometrik, token	Role, permission, policy
Dilakukan oleh	Pengguna membuktikan dirinya	Sistem mengecek izin
Bisa diubah?	Tidak mudah (identitas tetap)	Ya, oleh admin kapan saja
Hasil gagal	Login ditolak	Akses ditolak (403 Forbidden)
Status HTTP	401 Unauthorized	403 Forbidden
Contoh teknologi	OAuth, SAML, JWT, MFA	RBAC, ABAC, ACL, LDAP

🔄 Alur Proses Keamanan

Langkah 1: Pengguna mencoba masuk

Pengguna memasukkan kredensial (username + password, sidik jari, dll)

Langkah 2: AUTENTIKASI — Verifikasi Identitas

Sistem mengecek apakah kredensial valid. Jika gagal → 401 Unauthorized. Jika berhasil → session/token dibuat.

Langkah 3: OTORISASI — Cek Izin

Sistem mengecek role/permission pengguna untuk setiap resource yang diakses. Jika tidak punya izin → 403 Forbidden.

Langkah 4: Akses Diberikan

Pengguna bisa menggunakan fitur sesuai izin yang dimiliki.

⚠️ HTTP Status Code

🔢

401 Unauthorized

Terjadi saat autentikasi gagal. Belum login atau token tidak valid. Server tidak mengenali identitasmu.

🚫

403 Forbidden

Terjadi saat otorisasi gagal. Sudah login tapi tidak punya izin. Server mengenali tapi menolak akses.

          💡 Mnemonic: 401 = "Saya tidak tahu kamu siapa" | 403 = "Saya tahu kamu siapa, tapi kamu tidak boleh di sini!"
        

🧪 Simulasi Status Code

HTTP Request Simulator

Pilih Skenario

Materi 3 dari 7

🌍 Mengapa Analogi Bandara?

Bandara adalah contoh sempurna karena memiliki sistem keamanan berlapis yang mirip dengan sistem autentikasi dan otorisasi digital. Setiap penumpang harus melalui serangkaian pemeriksaan sebelum bisa naik pesawat.

🗺️ Alur Perjalanan di Bandara

📄

Check-in

Serahkan tiket & paspor. Sistem memeriksa reservasi.

👮

Pemeriksaan Paspor

Petugas verifikasi identitas asli penumpang → AUTENTIKASI

🛡️

Pemeriksaan Keamanan

Scan bagasi & badan. Pastikan tidak ada barang terlarang.

🚪

Boarding Gate

Scan boarding pass untuk gate tertentu → OTORISASI

👆 Klik setiap langkah secara berurutan!

🔐

Pemeriksaan Paspor
= AUTENTIKASI

Petugas imigrasi memeriksa paspor untuk memastikan kamu adalah benar-benar kamu. Foto, nama, dan data biometrik diverifikasi. Ini membuktikan identitasmu.

🛡️

Boarding Gate
= OTORISASI

Meskipun identitasmu sudah terbukti, kamu hanya bisa masuk ke gate yang sesuai tiketmu. Gate A3 bukan untuk penumpang pesawat ke gate B7!

📊 Pemetaan Analogi Lengkap

Di Bandara	🔐 Autentikasi	🛡️ Otorisasi
Paspor	✅ Pemeriksaan paspor	—
Boarding Pass	—	✅ Akses ke gate tertentu
Lounge Premium	—	✅ Hanya tiket Business class
Kru pesawat	✅ Badge karyawan	✅ Akses kokpit/ruang crew
Customs area	✅ Verifikasi identitas	✅ Warga negara vs turis

🧠

Ingat Ini!

Kamu bisa punya identitas yang valid (paspor asli) tapi tetap tidak bisa masuk ke lounge bisnis jika tiketmu kelas ekonomi.

Itulah mengapa otorisasi diperlukan setelah autentikasi — keduanya bekerja bersama!

Materi 4 dari 7

🏪 Sistem Keamanan E-Commerce

Platform toko online seperti Tokopedia, Shopee, atau Amazon menggunakan kombinasi autentikasi dan otorisasi yang kompleks untuk melindungi data pengguna dan memastikan setiap aksi dilakukan oleh pihak yang berwenang.

          🛒 Skenario: Sistem toko online memiliki 3 jenis pengguna: Customer (pembeli), Seller (penjual), dan Admin (pengelola platform). Setiap peran memiliki akses berbeda-beda.
        

🧪 Simulasi Login Toko Online

🛒 TokoBelajar.id — Simulasi Sistem Login

Username

Password

📋 Tabel Izin Berdasarkan Peran

Aksi	👤 Customer	🏪 Seller	👑 Admin
Lihat produk	✓ Ya	✓ Ya	✓ Ya
Beli produk	✓ Ya	✗ Tidak	✗ Tidak
Tambah produk	✗ Tidak	✓ Ya	✓ Ya
Hapus semua produk	✗ Tidak	✗ Tidak	✓ Ya
Lihat laporan keuangan	✗ Tidak	⚡ Toko sendiri	✓ Ya
Kelola pengguna	✗ Tidak	✗ Tidak	✓ Ya

Materi 5 dari 7

🎓 Platform Ujian Online

Sistem ujian online seperti Google Form, Moodle, atau platform UTBK menggunakan autentikasi dan otorisasi yang sangat ketat untuk memastikan integritas ujian. Tidak boleh ada peserta yang mengakses soal tanpa izin!

          ⚠️ Contoh Kasus Nyata: Ketika mengerjakan UTBK (Ujian Tulis Berbasis Komputer), peserta harus login dengan nomor peserta + tanggal lahir (Autentikasi), kemudian sistem mengecek apakah peserta terdaftar untuk sesi dan lokasi ujian tertentu (Otorisasi).
        

🧪 Simulasi Sistem Ujian

📝 EduExam Platform — Sistem Ujian Digital

Nomor Peserta

Tanggal Lahir (YYYY-MM-DD)

Pilih Sesi Ujian

📊 Lapisan Keamanan Ujian Online

Layer 1: Autentikasi Peserta

Verifikasi nomor peserta, tanggal lahir, atau biometrik. Memastikan hanya peserta terdaftar yang bisa masuk.

Layer 2: Otorisasi Sesi

Peserta hanya bisa mengakses soal ujian sesuai sesi dan waktu yang dijadwalkan. Tidak bisa "mencuri" soal sesi lain.

Layer 3: Otorisasi Berbasis Waktu

Soal hanya bisa diakses selama jendela waktu ujian berlangsung. Setelah waktu habis, akses otomatis dicabut.

Layer 4: Anti-Kecurangan

Sistem mendeteksi jika peserta mencoba membuka tab lain (berpindah fokus) dan mencatat aktivitas mencurigakan.

Materi 6 dari 7

🔑 JSON Web Token (JWT)

JWT adalah standar industri (RFC 7519) untuk mentransmisikan informasi secara aman antara pihak-pihak sebagai objek JSON. JWT digunakan dalam autentikasi modern untuk mengidentifikasi pengguna tanpa harus query database setiap request.

📦 Struktur JWT: Header.Payload.Signature

// Header (base64)
{
  "alg": "HS256",
  "typ": "JWT"
}

// Payload (base64) - berisi data pengguna
{
  "sub": "user_123",       // user ID
  "role": "admin",        // untuk OTORISASI
  "email": "user@email.com",
  "iat": 1716000000,      // issued at
  "exp": 1716086400       // expiry (24 jam)
}

// Signature (HMAC SHA-256)
HMACSHA256(base64(header) + "." + base64(payload), secret)
        

🛡️ Middleware Autentikasi & Otorisasi

Dalam pengembangan backend (Node.js/Express), autentikasi dan otorisasi diimplementasikan sebagai middleware — fungsi yang berjalan sebelum handler utama:

// ===== MIDDLEWARE AUTENTIKASI =====
const authenticate = (req, res, next) => {
  const token = req.headers['authorization']?.split(' ')[1];
  
  if (!token) {
    return res.status(401).json({ error: 'Token diperlukan' });
  }
  
  try {
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    req.user = decoded; // simpan data user
    next(); // lanjut ke handler berikutnya
  } catch (err) {
    res.status(401).json({ error: 'Token tidak valid' });
  }
};

// ===== MIDDLEWARE OTORISASI (RBAC) =====
const authorize = (...roles) => {
  return (req, res, next) => {
    if (!roles.includes(req.user.role)) {
      return res.status(403).json({ 
        error: 'Akses ditolak - izin tidak cukup' 
      });
    }
    next();
  };
};

// ===== PENGGUNAAN DI ROUTE =====
// Semua user yang login bisa lihat produk
app.get('/api/products', authenticate, getProducts);

// Hanya admin & seller yang bisa tambah produk
app.post('/api/products', authenticate, authorize('admin', 'seller'), addProduct);

// Hanya admin yang bisa hapus semua produk
app.delete('/api/products', authenticate, authorize('admin'), deleteAll);
        

🧪 Simulasi API Request

⚙️ API Request Simulator

Pilih Endpoint

Token / Role Pengguna

🏗️ Pola Arsitektur Umum

OAuth 2.0 + OpenID Connect

Standar industri untuk autentikasi (OIDC) dan otorisasi (OAuth 2.0). Digunakan oleh Google, Facebook, GitHub untuk "Login with..." Memisahkan server autentikasi dari aplikasi.

RBAC (Role-Based Access Control)

Izin diberikan berdasarkan peran (admin, editor, viewer). Setiap peran memiliki kumpulan izin yang berbeda. Mudah dikelola untuk sistem besar.

ABAC (Attribute-Based Access Control)

Izin berdasarkan atribut pengguna, resource, dan lingkungan. Lebih fleksibel dari RBAC. Cocok untuk sistem yang sangat kompleks seperti AWS IAM.

Materi 7 dari 7

🤖 Tanya AI Tutor

Tanyakan apa saja tentang Autentikasi & Otorisasi! AI siap membantu.

🤖

AuthBot AI

● Online · Siap membantu belajar

👋 Halo! Saya AuthBot, asisten AI untuk materi Autentikasi & Otorisasi. Tanyakan apa saja! Misalnya:

• "Apa bedanya 401 dan 403?"
• "Jelaskan OAuth itu apa?"
• "Apa itu JWT?"

⚡ Didukung oleh Claude AI (Anthropic)

🏆 Kuis Pengetahuan

Uji pemahamanmu dengan 5 soal pilihan ganda!

Soal 1 dari 5

dari 5 soal benar

🎉

Selamat Telah Menyelesaikan Semua Materi!

Kamu telah belajar tentang Autentikasi & Otorisasi dari definisi dasar hingga implementasi backend. Terus praktikkan ilmu ini dalam proyek nyata!

🔐 BelajarAutentikasi & Otorisasi

Definisi: Autentikasi & Otorisasi