> ## Documentation Index
> Fetch the complete documentation index at: https://help.dingtalk.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Ikhtisar

> Pahami kredensial accessToken yang wajib diperoleh sebelum memanggil DingTalk OpenAPI — mencakup latar belakang, izin, cara mengambil, penggunaan, dan hal penting yang perlu diperhatikan.

Sebelum memanggil DingTalk OpenAPI, sebuah aplikasi harus memperoleh access token dari DingTalk Open Platform. Token ini berisi informasi identitas aplikasi beserta izin aksesnya terhadap sumber daya DingTalk, dan berfungsi sebagai kredensial autentikasi yang wajib untuk panggilan API.

## Latar belakang

Untuk membantu developer memahami dengan jelas mekanisme autentikasi identitas pada berbagai skenario, dokumen ini menyajikan pengenalan yang sistematis tentang empat tipe access token yang didukung DingTalk Open Platform, subjek yang berlaku, cakupan izin, dan cara penggunaannya. Dokumen ini juga menyediakan panduan operasi yang lengkap serta hal-hal penting untuk memastikan developer dapat menyelesaikan persiapan panggilan API dengan benar dan efisien.

## Ikhtisar izin

DingTalk Open Platform menggunakan dua model izin untuk mengelola akses aplikasi terhadap sumber daya, guna menyeimbangkan keamanan dan fleksibilitas:

<Note>
  Terlepas dari tipe izin apa yang digunakan untuk memanggil DingTalk OpenAPI, Anda harus terlebih dahulu memperoleh access token untuk tipe izin yang sesuai.
</Note>

### **Tipe 1**: Kredensial akses identitas **Pengguna**

* **Definisi**: Kredensial akses identitas pengguna (delegated permissions). Aplikasi memerlukan otorisasi pengguna untuk memanggil DingTalk OpenAPI atas nama pengguna yang telah masuk guna mengoperasikan sumber daya.
* **Karakteristik**:

  * Pengguna harus secara aktif memberikan otorisasi agar aplikasi dapat mengakses data pribadinya atau melakukan tindakan atas namanya.
  * Saat memanggil API, `access token` pengguna digunakan, dan hasil operasi dibatasi oleh izin pengguna tersebut.
  * Berlaku untuk skenario yang melibatkan data pribadi pengguna, seperti membaca acara pribadi atau nomor ponsel pribadi.

### **Tipe 2**: Kredensial akses identitas aplikasi

* **Definisi**: Kredensial akses identitas aplikasi (application permissions). Cocok untuk aplikasi yang tidak memerlukan pengguna masuk. Saat aplikasi dipasang, admin dapat memberikan izin terlebih dahulu.
* **Karakteristik**:

  * Aplikasi dapat memanggil API tanpa bergantung pada identitas pengguna dan langsung mengakses sumber daya tingkat organisasi.
  * Menggunakan `access token` dari aplikasi internal atau aplikasi pihak ketiga.
  * Berlaku untuk tugas backend, pemrosesan massal, operasi otomatis, dan skenario serupa.

## Access token

Access token diterbitkan oleh DingTalk Open Platform untuk memverifikasi identitas pemanggil dan memastikan bahwa pemanggil memiliki izin yang diperlukan untuk melakukan tindakan yang dimaksud.

DingTalk Open Platform saat ini menyediakan empat tipe access token berikut, sesuai dengan skenario aplikasi dan tingkat izin yang berbeda:

<Warning>
  Memanggil API yang sama dengan access token yang berbeda dapat mengembalikan data yang berbeda. Untuk detailnya, lihat dokumentasi API terkait.
</Warning>

| Kredensial otorisasi                              | Skenario                                                                                                              | Cara memperoleh                                                                                              |
| ------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------ |
| User access token                                 | Aplikasi yang memerlukan otorisasi pengguna yang telah masuk.                                                         | [Memperoleh user token](/id/open/development/obtain-user-token)                                              |
| Access token aplikasi internal                    | Aplikasi internal yang memanggil Server API untuk mengakses sumber daya aplikasi.                                     | [Memperoleh access token aplikasi internal](/id/open/development/obtain-the-access-token-of-an-internal-app) |
| Access token aplikasi perusahaan pihak ketiga     | Aplikasi perusahaan pihak ketiga atau aplikasi kustom yang memanggil Server API untuk mengakses sumber daya aplikasi. | Memperoleh access token organisasi yang telah mengotorisasi aplikasi pihak ketiga                            |
| suiteAccessToken aplikasi perusahaan pihak ketiga | Memperoleh informasi tentang aplikasi perusahaan pihak ketiga.                                                        | Memperoleh suiteAccessToken aplikasi perusahaan pihak ketiga                                                 |

## Cara menggunakan access token

Untuk memanggil DingTalk OpenAPI, sertakan access token sebagai Bearer token pada header Authorization dari permintaan HTTP. Contoh:

```http theme={"theme":{"light":"github-light","dark":"github-dark"}}
GET https://api.dingtalk.io/v1.0/me/ HTTP/1.1
Host: api.dingtalk.io
Authorization: Bearer EwAoA8lxxxx=
```

Untuk operasi lengkap, lihat:

* Memperoleh kredensial akses pengguna yang telah masuk: lihat tutorial dokumentasi [Memperoleh kredensial identitas](/id/open/development/obtain-identity-credentials).
* Memperoleh kredensial akses ketika tidak ada pengguna yang masuk: lihat tutorial dokumentasi [Memperoleh kredensial akses API sebuah aplikasi](/id/open/development/used-application-authorization).

## Hal yang perlu diperhatikan

| Hal yang perlu diperhatikan                   | Deskripsi                                                                             |
| --------------------------------------------- | ------------------------------------------------------------------------------------- |
| 🔐 Risiko kebocoran Client Secret             | Jangan pernah mencetak Secret dalam kode frontend, di sisi klien, atau di log.        |
| 🕒 Masa berlaku access token                  | Berlaku selama 7.200 detik secara default. Terapkan mekanisme pembaruan otomatis.     |
| 🧩 Tipe access token yang didukung sebuah API | Selalu periksa dokumentasi API terkait untuk memastikan. Jangan mencampur tipe token. |
