2

我不明白 shopify 应用程序的安全性如何。假设我有一个运行我的应用程序的网站。我正在使用示例 django 应用程序和 pixelprinter 应用程序作为示例构建我的应用程序。

因此,如果我的网络会话中没有存储令牌,我会重定向到用户必须输入商店名称的登录页面。然后我向商店发送 OAuth2 请求,用户必须输入商店的密码才能安装应用程序。这对我来说很清楚。

假设我的应用程序被安装到商店。现在,如果我在我的登录屏幕中输入相同的商店名称,它会重定向到商店,商店将看到该应用程序已经安装并且不会要求用户输入密码。它是否正确?至少看起来是这样。

因此,除非我为从 shopify 外部访问我的应用程序的用户实施额外的安全措施,否则我有一个安全漏洞。正确的?任何人都可以输入商店名称,如果这家商店恰好安装了我的应用程序,那么他们将能够看到数据。

请澄清。

4

1 回答 1

3

即使您已授权该应用程序,输入 URL 的任何其他人也必须在继续之前通过 Shopify 进行身份验证。

因为您已经输入了商店名称并登录,所以您的浏览器有一个会话,这使得当您在应用程序上再次输入商店名称时,后续请求似乎不需要登录。如果您要前往 Shopify 并注销(或在其他浏览器中尝试),然后输入商店名称,您将被重定向到登录页面,然后才能继续。

于 2012-09-08T17:08:16.077 回答