Digital Transformation

Web OTP API

Vito Atmo·25 Mei 2026·5 kali dibaca·3 min baca

TL;DR: Web OTP API adalah API browser yang membaca kode OTP dari SMS secara otomatis lalu mengisinya ke field input di form login atau verifikasi. Hasilnya, user tidak perlu pindah aplikasi untuk salin kode, dan friction login berkurang secara signifikan di mobile web. Per 2026, dukungan sudah baik di Chrome dan browser berbasis Chromium di Android, dengan fallback paste manual untuk browser lain.

Apa itu Web OTP API?

Web OTP API adalah antarmuka resmi browser untuk mengambil kode OTP dari SMS, tanpa perlu user membuka aplikasi SMS dan menyalin kode tersebut secara manual. Browser hanya akan membaca SMS yang berformat khusus dengan menyertakan domain origin, sehingga aman dari pengambilan SMS sembarangan oleh halaman web lain.

Untuk marketer dan pemilik bisnis, Web OTP API berguna dalam skenario login one-time-password, verifikasi nomor telepon, dan konfirmasi transaksi. Bersama dengan Passkey dan Magic Link, Web OTP API menjadi pilihan modern untuk mengurangi gesekan autentikasi tanpa harus mengandalkan password yang mudah lupa.

Cara Kerja Web OTP API

Mekanisme inti berjalan dalam tiga langkah singkat. Pertama, halaman web memanggil navigator.credentials.get dengan opsi otp: { transport: ["sms"] }. Kedua, server mengirim SMS berisi kode OTP plus baris akhir berformat @domain.com #12345 agar browser dapat memverifikasi origin. Ketiga, ketika SMS masuk dan format sesuai, browser otomatis mengisi field input yang ditandai dengan atribut autocomplete="one-time-code".

Komponen	Peran
Field input	Wajib pakai `autocomplete="one-time-code"`
Format SMS	Wajib akhiri dengan `@domain.com #KODE`
API call	`navigator.credentials.get({ otp: { transport: ["sms"] } })`
Fallback	Paste manual untuk browser tanpa dukungan

Kenapa Penting?

Bagi marketer Indonesia yang mengandalkan login OTP untuk e-commerce, fintech, dan aplikasi member, Web OTP API memangkas waktu login dari rata-rata 18 hingga 30 detik (pindah ke SMS, salin, kembali, paste) menjadi kurang dari 5 detik. Dampaknya nyata pada tingkat penyelesaian form dan pengurangan form abandonment di halaman checkout atau registrasi.

Web OTP API juga mengurangi salah ketik kode, yang menurut data internal beberapa proyek client Vito Atmo dapat menyumbang 8 hingga 14 persen dari kegagalan login mobile. Kombinasinya dengan progressive enhancement memastikan user di browser yang belum mendukung tetap bisa login normal, tanpa pengalaman yang rusak.

Pertanyaan Umum

Apakah Web OTP API aman dari SMS hijacking?

Web OTP API hanya membaca SMS yang berakhir dengan format @domain #kode, sehingga browser memvalidasi origin sebelum mengisi field. Untuk keamanan menyeluruh, kombinasikan dengan rate limiting di server dan pembatasan jumlah percobaan.

Browser apa saja yang mendukung Web OTP API?

Per 2026, dukungan paling matang di Chrome Android dan browser berbasis Chromium. Safari iOS punya pendekatan berbeda berbasis autofill native sistem. Selalu sediakan fallback paste manual.

Istilah Terkait

Domain Form Abandonment Magic Link Passkey (Login Tanpa Password)Progressive Enhancement Rate Limiting Structured Data

Semua Istilah Ada pertanyaan? →