我不明白shopify应用程序的安全性如何。假设我有一个运行我的应用程序的网站。我正在使用示例django应用程序和pixelprinter应用程序构建我的应用程序作为示例。
所以,如果我的网络会话中没有存储令牌,我会重定向到用户必须输入商店名称的登录页面。然后我向商店发送OAuth2请求,用户必须输入商店的密码才能安装应用程序。这对我来说很清楚。
假设我的应用已安装到商店。现在,如果我在我的登录屏幕中输入相同的商店名称,并且它重定向到商店,商店将看到该应用程序已经安装,并且不会要求用户输入密码。它是否正确?至少看起来如此。
所以,除非我为从shopify外部访问它的用户实施我的应用程序的额外安全性,否则我有一个安全漏洞。正确?任何人都可以输入商店名称,如果这个商店碰巧安装了我的应用程序,那么他们将能够看到数据。
请澄清。
答案 0 :(得分:3)
即使您已授权该应用,任何其他输入该网址的人都必须先与Shopify进行身份验证,然后再继续使用。
由于您已经输入了商店名称并已登录,因此您的浏览器会有一个会话,这使得当您在应用上再次输入商店名称时,后续请求中似乎无需登录。如果您要去Shopify并注销(或在其他浏览器中尝试),然后输入商店名称,您将被重定向到登录页面,然后才能继续。