我正在构建Shopify
应用程序Nodejs
。而且我找不到任何有关具有不同权限的用户如何与我的应用程序交互的资源。例如,如果我的应用程序已授予read_products
和write_products
范围,但用户只有read_products
权限。如果是的话,他是否可以使用该应用程序我如何获得用户的范围,更重要的是有什么方法可以测试场景吗?
问问题
915 次
1 回答
2
Shopify 已在文档的身份验证部分详细解释了这一点。认证访问有两种模式,即在线和离线。
您需要的是在线访问。来自Shopify 文档
具有在线访问模式的令牌链接到商店中的单个用户,其中访问令牌的生命周期与用户的 Web 会话的生命周期相匹配。当用户通过 Web 与您的应用程序交互时,或者当应用程序必须尊重单个用户的权限级别时,应使用这种类型的访问模式。
与离线(默认)访问相比,几乎没有显着的区别是
- 这种访问模式必须在授权阶段明确请求。
- 保证使用在线模式访问令牌发出的 API 请求尊重用户的个人权限。当访问令牌有效但用户无权访问时,Shopify 会返回 403 Forbidden 状态代码。
- 该应用程序可以检查范围和关联用户范围以确定用户是否缺少某些权限。
于 2020-07-01T13:05:23.230 回答