Dal quando è obbligatorio usare expiring offline access token su Shopify?

Dal 1 aprile 2026 l'obbligo si applica alle nuove app pubbliche. Dal 1 gennaio 2027 si estende a tutte le app pubbliche esistenti, incluse quelle create prima di aprile 2026. Le app che non migrano riceveranno errori di autenticazione sull'Admin API.

I merchant devono reinstallare le app durante la migrazione ai token con scadenza?

No. La migrazione avviene tramite il flusso di token exchange lato server: il developer converte il token esistente chiamando l'apposito endpoint Shopify senza richiedere alcuna azione da parte del merchant.

Le custom app e le app create dai merchant sono soggette a questo obbligo?

No. L'obbligo riguarda esclusivamente le app pubbliche distribuite tramite l'App Store di Shopify o installate su più store via OAuth. Le custom app e le app create direttamente dai merchant non sono coinvolte.

Pulse

Shopify: token di accesso con scadenza obbligatori dal 2027

Shopify impone l'adozione degli expiring offline access token per tutte le app pubbliche entro il 1 gennaio 2027. Chi non migra riceverà errori di autenticazione sull'Admin API.

Ivan Signorile

11 maggio 2026 · 4 min di lettura

Dal 1 gennaio 2027 tutte le app pubbliche Shopify dovranno utilizzare expiring offline access token per effettuare chiamate all'Admin API. Le app che continuano a usare token non-scadenti riceveranno errori di autenticazione. Non si tratta di un annuncio dell'ultimo minuto: la regola è già in vigore dal 1 aprile 2026 per le app create di recente, e ora si estende all'intero parco di app pubbliche, incluse quelle costruite prima di quella data.

Perché i token non-scadenti sono un problema di sicurezza

Un access token tradizionale, se compromesso, rimane valido a tempo indeterminato. Questo significa che un attaccante che entra in possesso del token può continuare a interrogare l'Admin API per mesi o anni senza che il merchant o il developer si accorga di nulla. La finestra di esposizione è, di fatto, illimitata.

Un expiring offline access token si comporta in modo radicalmente diverso:

Scadenza automatica in 60 minuti: trascorso questo intervallo, il token non è più valido.
Rotazione automatica: il sistema emette un nuovo token prima della scadenza, senza interrompere le operazioni.
Contenimento del breach: anche in caso di compromissione, la finestra di rischio si chiude entro un'ora.

La differenza pratica non è burocratica. È la distinzione tra un incidente contenuto e una violazione che può durare anni senza essere rilevata.

Quali app sono coinvolte

La scadenza riguarda esclusivamente le app pubbliche distribuite sull'App Store di Shopify o installate su più store tramite OAuth. Sono escluse:

Custom app: create per un singolo merchant direttamente dal pannello Shopify.
App create dai merchant: installate e gestite direttamente dallo store owner senza distribuzione pubblica.

Se il tuo team sviluppa e distribuisce app pubbliche, la migrazione è obbligatoria.

Cosa devono fare i team tecnici

La migrazione richiede interventi precisi sull'infrastruttura e sul codice. Ecco i passaggi fondamentali.

1. Audit dei token esistenti

Il primo passo è verificare quali app pubbliche usano ancora token non-scadenti. Questo richiede un controllo sul database o sul sistema di storage dove i token sono persistiti. I token non-scadenti hanno una struttura diversa rispetto a quelli rotanti: non contengono un campo di scadenza né un refresh token associato.

2. Implementare il flusso di token exchange

Shopify mette a disposizione un endpoint di token exchange che consente di convertire un token non-scadente esistente in un expiring token. L'operazione avviene interamente lato server: non è richiesta alcuna reinstallazione da parte del merchant. Il flusso prevede:

Recupero del token offline attuale dallo storage.
Chiamata all'endpoint di token exchange con il token corrente.
Ricezione del nuovo expiring token e del refresh token associato.
Aggiornamento dello storage con i nuovi valori.

3. Aggiornare la logica di storage

I token rotanti richiedono di persistere non solo il valore del token ma anche la sua scadenza e il refresh token. Se la propria infrastruttura salva solo una stringa, è necessario aggiornare lo schema del database o del sistema di storage per accogliere questi campi aggiuntivi.

4. Gestione del refresh

Se si utilizzano le librerie ufficiali Shopify (come shopify-api-node, shopify-app-remix o equivalenti), la logica di refresh è già integrata. In questo caso l'unico intervento necessario è il token exchange iniziale per convertire i token esistenti. Per chi ha implementato chiamate API custom senza librerie ufficiali, è necessario aggiungere la logica di rilevamento della scadenza e di richiesta del nuovo token prima di ogni chiamata all'Admin API.

Tempistiche e priorità

La scadenza del 1 gennaio 2027 può sembrare lontana, ma la migrazione coinvolge più livelli dello stack: database, logica applicativa, test di regressione e, in alcuni casi, aggiornamenti delle dipendenze. Rinviare a dicembre 2026 significa comprimere i tempi in modo rischioso.

Una roadmap realistica prevede:

Audit immediato per identificare le app e i token da migrare.
Sviluppo e test del flusso di token exchange in ambiente staging.
Deploy progressivo partendo dalle app con minor traffico.
Monitoraggio post-migrazione per intercettare eventuali errori di autenticazione.

Per una valutazione dei costi e delle risorse necessarie alla migrazione, consulta la nostra pagina dedicata ai piani per sviluppatori Shopify.

Conclusione

L'obbligo degli expiring offline access token non è un cambio cosmetico delle policy OAuth. È una misura di sicurezza concreta che riduce drasticamente l'impatto potenziale di una compromissione. I team che gestiscono app pubbliche su Shopify devono considerare questa migrazione una priorità tecnica da pianificare oggi, con sufficiente margine per eseguirla correttamente.

Pubblicato originariamente su LinkedIn

Ti servono sviluppatori senior Shopify, React o WordPress?

Trova un talento