Shopify expiring token 2027: migración obligatoria para apps públicas

El plazo que los equipos técnicos no pueden ignorar

A partir del 1 de enero de 2027, todas las apps públicas que utilizan la Admin API de Shopify deberán adoptar los expiring offline access token. Las apps que sigan usando tokens sin fecha de expiración recibirán errores de autenticación. No se trata de una recomendación: es un cambio infraestructural con una fecha concreta y consecuencias operativas inmediatas.

El cambio no es del todo nuevo. Desde el 1 de abril de 2026 la regla ya se aplica a las apps públicas creadas a partir de esa fecha. La extensión al parque de apps existente —incluidas las desarrolladas antes de abril de 2026— es la novedad que obliga a revisar las roadmaps con urgencia.

Por qué los tokens sin expiración son un problema de seguridad

Un token de acceso tradicional, una vez emitido, permanece válido de forma indefinida. Si se ve comprometido —a través de una filtración de datos, un log expuesto o un repositorio publicado por error— el atacante dispone de acceso permanente a la Admin API del merchant.

Los expiring offline access token funcionan de forma radicalmente distinta:

• Invalidación automática a los 60 minutos desde su emisión
• Rotación automática: en cada refresh se emite un nuevo token
• Ventana de riesgo drásticamente reducida: incluso en caso de compromiso, el token queda inutilizable en muy poco tiempo

El punto central no es la conformidad con OAuth. Es la diferencia concreta entre una brecha contenida, detectable y acotada, y un compromiso silencioso que puede durar años sin ser detectado.

Qué apps están afectadas

Es importante delimitar el alcance correctamente antes de iniciar cualquier intervención:

• Apps públicas distribuidas en el App Store de Shopify o mediante enlace de instalación directo: afectadas
• Apps creadas después del 1 de abril de 2026: ya sujetas a la regla
• Apps públicas creadas antes del 1 de abril de 2026: sujetas al plazo del 1 de enero de 2027
• Custom apps (apps creadas para un único merchant específico): no afectadas
• Apps creadas directamente por los merchants desde su panel de Partner: no afectadas

Si se gestiona una o más apps públicas, verificar el estado de los tokens es el primer paso operativo.

Qué deben hacer los equipos técnicos

1. Auditoría de los tokens activos

El primer paso es identificar qué apps públicas siguen usando tokens sin expiración. Esto requiere revisar la configuración OAuth actual y el tipo de token almacenado en la base de datos o sistema de almacenamiento propio.

2. Implementar el flujo de token exchange

La migración no requiere que los merchants reinstalen la app. Shopify pone a disposición un flujo de token exchange que permite convertir un token sin expiración existente en un expiring token mediante una llamada API en el lado del servidor. La operación es completamente transparente para el merchant.

Los pasos fundamentales del flujo son:

• Realizar una llamada al endpoint de token exchange con el token offline existente
• Recibir el nuevo expiring token y el refresh token asociado
• Sustituir el token en el almacenamiento sin ninguna interrupción del servicio

3. Actualizar la lógica de almacenamiento

Los expiring token requieren que la infraestructura gestione también el refresh token. Es necesario actualizar el esquema de la base de datos o el sistema de gestión de secretos para almacenar tanto el token actual como el refresh token, junto con su fecha de expiración correspondiente.

4. Verificar el uso de las librerías oficiales

Si se utilizan las librerías oficiales de Shopify (como @shopify/shopify-api para Node.js o la gem equivalente para Ruby), la gestión automática del refresh ya está integrada. En ese caso, el trabajo se reduce a ejecutar el token exchange inicial para los tokens existentes. Las librerías gestionan el ciclo de vida posterior de forma autónoma.

Plazos y prioridades

El plazo del 1 de enero de 2027 puede parecer lejano, pero el tiempo técnico necesario para auditoría, desarrollo, pruebas y despliegue en producción se acumula rápidamente. Incorporar esta tarea a la roadmap en diciembre de 2026 significa trabajar bajo presión con riesgo de errores.

Los equipos que gestionan varias apps públicas o que cuentan con infraestructuras complejas deberían iniciar la planificación en la primera mitad de 2026, reservando tiempo suficiente para pruebas de regresión y para gestionar los casos límite (tokens ya expirados, merchants con sesiones activas muy largas, integraciones con sistemas de terceros).

Para evaluar los recursos y costes de la migración, puedes consultar nuestra página de planes y tarifas para desarrolladores de Shopify.

Resumen operativo

La transición a los expiring offline access token no es una tarea de mantenimiento rutinario. Requiere modificaciones en el flujo OAuth, actualizaciones del almacenamiento, verificación de las librerías en uso y una estrategia de despliegue que no impacte a los merchants activos. Realizada correctamente, es también una oportunidad para reforzar la postura de seguridad de toda la integración con el ecosistema de Shopify.