Как области токенов доступа shopify связаны с разрешениями пользователей?

Question

Я создаю приложение Shopify в Nodejs. И я не могу найти никаких ресурсов о том, как пользователи с разными разрешениями будут взаимодействовать с моим приложением. Например, если моему приложению предоставлены области действия read_products и write_products, но у пользователя есть только read_products разрешения. Будет ли для него доступно приложение, если да, как мне получить сведения о пользователях и, что более важно, есть ли способ протестировать сценарий?

Answer 1

Shopify подробно объяснил это в разделе «Аутентификация» документации. Существует два режима аутентифицированного доступа: онлайн и офлайн.

Что вам нужно, так это онлайн-доступ. From Shopify Docs

Токены с режимом онлайн-доступа связаны с отдельным пользователем в магазине, где срок жизни токена доступа совпадает с продолжительностью веб-сеанса пользователя. Этот тип режима доступа предназначен для использования, когда пользователь взаимодействует с вашим приложением через Интернет или когда приложение должно уважать уровень разрешений отдельного пользователя.

Небольшая заметная разница по сравнению с автономным режимом (по умолчанию) доступ:

• Этот режим доступа должен быть явно запрошен на этапе авторизации.
• Запрос API, сделанный с использованием токена доступа онлайн-режима, гарантированно соблюдает индивидуальные права пользователя. Shopify возвращает код состояния 403 Forbidden, когда токен доступа действителен, но у пользователя нет доступа.
• Приложение может проверить область действия и associated_user_scope, чтобы определить, нет ли у пользователя определенных разрешений.