Shopify Expiring Token 2027: Pflichtmigration für öffentliche Apps

Die Frist, die Technikteams nicht ignorieren können

Ab dem 1. Januar 2027 müssen alle öffentlichen Apps, die die Admin API von Shopify nutzen, auf Expiring Offline Access Token umstellen. Apps, die weiterhin nicht ablaufende Token verwenden, erhalten Authentifizierungsfehler. Es handelt sich nicht um eine Empfehlung, sondern um eine infrastrukturelle Änderung mit einem konkreten Datum und unmittelbaren operativen Konsequenzen.

Die Änderung ist nicht völlig neu. Seit dem 1. April 2026 gilt die Regel bereits für öffentliche Apps, die nach diesem Datum erstellt wurden. Die Ausweitung auf den bestehenden App-Bestand – einschließlich Apps, die vor April 2026 entwickelt wurden – ist die Neuerung, die eine dringende Überprüfung der Roadmaps erfordert.

Warum nicht ablaufende Token ein Sicherheitsproblem sind

Ein herkömmlicher Access Token bleibt nach seiner Ausstellung unbegrenzt gültig. Wird er kompromittiert – durch einen Datenschutzverstoß, ein offengelegtes Log oder ein versehentlich öffentliches Repository – erhält der Angreifer dauerhaften Zugriff auf die Admin API des Merchants.

Expiring Offline Access Token funktionieren grundlegend anders:

• Automatische Invalidierung nach 60 Minuten ab der Ausstellung
• Automatische Rotation: Bei jedem Refresh wird ein neuer Token ausgestellt
• Drastisch reduziertes Risikoferster: Selbst bei einer Kompromittierung ist der Token innerhalb kurzer Zeit unbrauchbar

Der entscheidende Punkt ist nicht die OAuth-Konformität. Es geht um den konkreten Unterschied zwischen einem eingedämmten, erkennbaren und begrenzten Sicherheitsvorfall und einer stillen Kompromittierung, die jahrelang unentdeckt bleiben kann.

Welche Apps betroffen sind

Es ist wichtig, den Geltungsbereich korrekt abzugrenzen, bevor Maßnahmen eingeleitet werden:

• Öffentliche Apps, die im Shopify App Store oder über direkte Installationslinks vertrieben werden: betroffen
• Apps, die nach dem 1. April 2026 erstellt wurden: Regel gilt bereits
• Öffentliche Apps, die vor dem 1. April 2026 erstellt wurden: unterliegen der Frist vom 1. Januar 2027
• Custom Apps (für einen einzelnen spezifischen Merchant erstellt): nicht betroffen
• Apps, die von Merchants direkt über das Partner-Dashboard erstellt wurden: nicht betroffen

Wer eine oder mehrere öffentliche Apps betreibt, sollte zunächst den Token-Status überprüfen.

Was Technikteams tun müssen

1. Audit der aktiven Token

Der erste Schritt ist eine Bestandsaufnahme, welche öffentlichen Apps noch nicht ablaufende Token verwenden. Dazu ist eine Überprüfung der aktuellen OAuth-Konfiguration und des Token-Typs erforderlich, der in der eigenen Datenbank oder im Storage-System gespeichert ist.

2. Den Token-Exchange-Fluss implementieren

Die Migration erfordert keine Neuinstallation der App durch den Merchant. Shopify stellt einen Token-Exchange-Fluss bereit, mit dem ein bestehender nicht ablaufender Token über einen serverseitigen API-Aufruf in einen Expiring Token umgewandelt werden kann. Der Vorgang ist für den Merchant vollständig transparent.

Die wesentlichen Schritte des Ablaufs sind:

• Einen Aufruf an den Token-Exchange-Endpunkt mit dem vorhandenen Offline-Token senden
• Den neuen Expiring Token und den zugehörigen Refresh Token empfangen
• Den Token im Storage ersetzen, ohne den Dienst zu unterbrechen

3. Die Storage-Logik aktualisieren

Expiring Token erfordern, dass die Infrastruktur auch den Refresh Token verwaltet. Das Datenbankschema oder das Secret-Management-System muss aktualisiert werden, um sowohl den aktuellen Token als auch den Refresh Token samt zugehörigem Ablaufdatum zu speichern.

4. Den Einsatz offizieller Bibliotheken prüfen

Wer die offiziellen Shopify-Bibliotheken verwendet (wie @shopify/shopify-api für Node.js oder das entsprechende Ruby Gem), profitiert bereits von integrierter automatischer Refresh-Verwaltung. In diesem Fall reduziert sich die Arbeit auf die Durchführung des initialen Token Exchange für bestehende Token. Die Bibliotheken übernehmen den weiteren Lebenszyklus selbstständig.

Zeitplan und Prioritäten

Die Frist vom 1. Januar 2027 mag weit entfernt wirken, aber der technische Aufwand für Audit, Entwicklung, Tests und Produktiv-Deployment summiert sich schnell. Diese Aufgabe erst im Dezember 2026 auf die Roadmap zu setzen bedeutet, unter Druck mit erhöhtem Fehlerrisiko zu arbeiten.

Teams, die mehrere öffentliche Apps betreiben oder komplexe Infrastrukturen verwalten, sollten die Planung in der ersten Hälfte des Jahres 2026 beginnen und ausreichend Zeit für Regressionstests sowie die Behandlung von Randfällen einplanen – etwa bereits abgelaufene Token, Merchants mit sehr langen aktiven Sitzungen oder Integrationen mit Drittsystemen.

Für eine Einschätzung der benötigten Ressourcen und Migrationskosten steht unsere Seite Pläne und Preise für Shopify-Entwickler zur Verfügung.

Operative Zusammenfassung

Die Umstellung auf Expiring Offline Access Token ist kein Routineeingriff. Sie erfordert Änderungen am OAuth-Fluss, Aktualisierungen des Storages, eine Überprüfung der verwendeten Bibliotheken und eine Rollout-Strategie, die aktive Merchants nicht beeinträchtigt. Korrekt durchgeführt, ist sie auch eine Gelegenheit, die Sicherheitsposition der gesamten Integration mit dem Shopify-Ökosystem zu stärken.