FROM CACHE - de_header
Gelöst

Bieten private Metafields ausreichende Sicherheit für die Speicherung von Customer Access Tokens?

MosDev__
Shopify Partner
48 10 12

Wir möchten die Customer Access Tokens in einem Metafield ablegen, um bei Änderungen an den Kundenstammdaten sich beim 3rd Party Datahub anmelden zu können. Mir sind da spontan die privateMetafields in den Sinn gekommen, bevor ich jetzt allerdings einen Deepdive in diese Richtung mache, ist das Thema Sicherheit das Entschiedene. Hat jemand Erfahrungen zum Teilen ?

 

"You can create private metafields when you don't want the metafield data to be accessible by merchants or other apps. This guide shows you how to manage private metafields using the GraphQL Admin API."

1 AKZEPTIERTE LÖSUNG

Gabe
Shopify Staff
15949 2530 3774

Erfolg.

Hey Sam! @MosDev__ 

 

Ich würde dir an dieser Stelle ein anderes mehr geeignetes Forum in unserer Partner and Developer Community hier empfehlen denn viele wird es nicht hier genen die speziell mit deiner Frage Erfahrung haben denke ich mal. In dem Forum gibt es einige Spezialisten. Desweiteren, bist du Mitglied das Shopify Partner Slack Channel? Da kannst du mit Shopify Partner über solche Themen plaudern.

 

Die Verwendung von Private Metafields in Shopify ist bestimmt eine sichere Methode sein, um sensible Kundendaten wie Access Tokens zu speichern, da sie nicht für Händler oder andere Apps zugänglich sind.

 

Diese Felder sind ja so konzipiert, dass sie den Datenzugriff auf die App beschränken, die sie erstellt hat. Private Metafelder sind also weder für Händler noch für andere Apps zugänglich und können nur über die GraphQL Admin API von Shopify abgerufen werden. Das bedeutet, dass authentifizierte Anfragen notwendig sind, um mit diesen Feldern zu interagieren.

 

Ist es jedoch eine veraltete Technologie oder Methodik?

Es ist wichtig zu beachten, dass die Verwendung von privaten Metafeldern von Shopify als veraltete Methodik angesehen wird. Wir empfehlen eine Migration zu App-eigenen Metafeldern mit reservierten Präfixen für eine bessere Sicherheit und Kontrolle, je mach deinem Use-Case. Aber vielleicht ist diese ältere Methode doch besser für dein spezifisches Vorhaben, Sam... 😉

 

Um diese privaten Metafelder zu verwalten, musst du sicherstellen, dass deine App authentifizierte Anfragen an die Shopify GraphQL Admin API stellen kann und dass du Zugriff auf den Ressourcentyp hast, für den du das Metafeld setzen möchtest. Der Prozess umfasst das Erstellen des Metafelds mit der Mutation privateMetafieldUpsert und das Angeben der besitzenden Ressource durch Bereitstellung ihrer ID. Beachte, dass private Metafelder gelöscht werden, wenn die App, die sie erstellt hat, deinstalliert wird.

 

Für die genaue Umsetzung kannst du auch die Shopify API Dokumentation verwenden und möglicherweise einen Sicherheitsexperten hinzuziehen, um sicherzustellen, dass das Ganze keine Sicherheitsrisiken birgt.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Lösung in ursprünglichem Beitrag anzeigen

3 ANTWORTEN 3

Gabe
Shopify Staff
15949 2530 3774

Erfolg.

Hey Sam! @MosDev__ 

 

Ich würde dir an dieser Stelle ein anderes mehr geeignetes Forum in unserer Partner and Developer Community hier empfehlen denn viele wird es nicht hier genen die speziell mit deiner Frage Erfahrung haben denke ich mal. In dem Forum gibt es einige Spezialisten. Desweiteren, bist du Mitglied das Shopify Partner Slack Channel? Da kannst du mit Shopify Partner über solche Themen plaudern.

 

Die Verwendung von Private Metafields in Shopify ist bestimmt eine sichere Methode sein, um sensible Kundendaten wie Access Tokens zu speichern, da sie nicht für Händler oder andere Apps zugänglich sind.

 

Diese Felder sind ja so konzipiert, dass sie den Datenzugriff auf die App beschränken, die sie erstellt hat. Private Metafelder sind also weder für Händler noch für andere Apps zugänglich und können nur über die GraphQL Admin API von Shopify abgerufen werden. Das bedeutet, dass authentifizierte Anfragen notwendig sind, um mit diesen Feldern zu interagieren.

 

Ist es jedoch eine veraltete Technologie oder Methodik?

Es ist wichtig zu beachten, dass die Verwendung von privaten Metafeldern von Shopify als veraltete Methodik angesehen wird. Wir empfehlen eine Migration zu App-eigenen Metafeldern mit reservierten Präfixen für eine bessere Sicherheit und Kontrolle, je mach deinem Use-Case. Aber vielleicht ist diese ältere Methode doch besser für dein spezifisches Vorhaben, Sam... 😉

 

Um diese privaten Metafelder zu verwalten, musst du sicherstellen, dass deine App authentifizierte Anfragen an die Shopify GraphQL Admin API stellen kann und dass du Zugriff auf den Ressourcentyp hast, für den du das Metafeld setzen möchtest. Der Prozess umfasst das Erstellen des Metafelds mit der Mutation privateMetafieldUpsert und das Angeben der besitzenden Ressource durch Bereitstellung ihrer ID. Beachte, dass private Metafelder gelöscht werden, wenn die App, die sie erstellt hat, deinstalliert wird.

 

Für die genaue Umsetzung kannst du auch die Shopify API Dokumentation verwenden und möglicherweise einen Sicherheitsexperten hinzuziehen, um sicherzustellen, dass das Ganze keine Sicherheitsrisiken birgt.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

MosDev__
Shopify Partner
48 10 12

Hey @Gabe 

 

Vielen Dank für deine ausführliche Antwort zu meiner Frage. Auch an der Stelle danke für die weiteren Links zum Dev Forum und dem Slack Channel. Habe das direkt an meine Kollegen weitergegeben. Ich selbst bin auf dem Dev-Discord Server und in dem subreddit r/shopifydevs.

Ich habe deine Antwort an meinen Kollegen weitergeleitet, falls da noch Rückfragen kommen sollten, würde ich in das englischsprachige Forum rüber wechseln und die Frage erneut stellen.

Danke dir

 

cheers,

sam

Gabe
Shopify Staff
15949 2530 3774

Gerne! 😉

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog