セキュリティが Shopify アプリでどのように機能するかわかりません。アプリを実行するサイトがあるとします。サンプルの django アプリと pixelprinter アプリを例として使用してアプリを構築しています。
そのため、Web セッションにトークンが保存されていない場合は、ユーザーがストア名を入力する必要があるログイン ページにリダイレクトします。次に、OAuth2 リクエストをショップに送信します。ユーザーは、アプリをインストールするためにショップのパスワードを入力する必要があります。これは私には明らかです。
私のアプリが店にインストールされたとします。現在、ログイン画面に同じショップ名を入力してショップにリダイレクトすると、ショップはアプリが既にインストールされていることを確認し、ユーザーにパスワードの入力を求めません。これは正しいです?少なくともそう見える。
そのため、Shopify の外部からアプリにアクセスするユーザーのためにアプリに追加のセキュリティを実装しない限り、セキュリティ ホールが発生します。正しい?誰でもショップ名を入力でき、このショップに私のアプリがインストールされていれば、データを見ることができます。
どうか明らかにしてください。