Shopify Web Bot Auth: rate limit Storefront API voor bots en agents

Wat er is veranderd in de Shopify Storefront API

Shopify heeft zijn rate limiting-beleid bijgewerkt voor bots en geautomatiseerde agents die de Storefront API en gehoste winkelpagina's benaderen. De regel is duidelijk: niet-ondertekende verzoeken krijgen de meest restrictieve limieten, ongeacht de kwaliteit van de code die ze genereert.

Dit is geen marginale wijziging. Het is een infrastructurele keuze die de operationele voorwaarden herdefiniëert voor iedereen die geautomatiseerde toegang tot Shopify-storefronts beheert.

De logica van throttling voor anonieme bots

Het mechanisme is binair in zijn basisopzet:

• Niet-ondertekende bots: krijgen de meest agressieve throttling. Geen uitzonderingen op basis van aanvraagfrequentie of implementatiekwaliteit.
• Bots ondertekend met Web Bot Auth: komen in aanmerking voor hogere rate limit-drempels, voldoende voor de meeste geautomatiseerde gebruikssituaties.
• Hogere tiers: toegankelijk door rechtstreeks contact op te nemen met Shopify via een speciaal formulier, voor behoeften die verder gaan dan wat Web Bot Auth standaard garandeert.

Een goed geschreven SEO-crawler, een geoptimaliseerde prijsmonitor of een correct gestructureerde AI-agent worden behandeld als elke andere anonieme bot als de verzoeken geen geldige handtekening bevatten. De kwaliteit van de implementatie heeft geen invloed op de toegewezen tier: alleen de aanwezigheid van de handtekening telt.

Wat is Web Bot Auth en hoe werkt het

Web Bot Auth is het ondertekeningsprotocol dat Shopify vereist om bots en geautomatiseerde agents op een verifieerbare manier te identificeren. Het is geen registratiesysteem bij een extern platform: aanmelding bij Cloudflare of diensten van derden is niet nodig.

De architectuur vereist dat uitgaande HTTP-verzoeken naar de Storefront API worden ondertekend volgens de door Shopify gepubliceerde specificaties. Voor merchants die hun eigen winkels rechtstreeks beheren, zijn de handtekeningen al beschikbaar in de Shopify-admin zonder extra configuratie.

Voor ontwikkelaars van custom integraties, scraping-pipelines of commerce-agents moet de handtekening op codeniveau worden geïmplementeerd, in de laag die HTTP-verzoeken opbouwt en verstuurt.

Welke gebruikssituaties zijn betrokken

De wijziging heeft betrekking op elk systeem dat geautomatiseerd de Storefront API of gehoste pagina's benadert. De meest voorkomende gevallen zijn:

• SEO-crawlers die productcatalogi indexeren of bewaken
• Prijs- en beschikbaarheidsmonitors
• AI-agents en commerce-automatiseringspipelines
• Voorraadsynchronisatiesystemen
• Geautomatiseerde testtools voor storefronts
• Elk script dat de Storefront API bevraagt zonder menselijke tussenkomst

Geen van deze scenario's is uitgesloten van het nieuwe beleid. Als de HTTP-client de verzoeken niet ondertekent, wordt de bot geclassificeerd als anoniem en ontvangt hij de laagste limieten.

Waarom Web Bot Auth nu implementeren

Het grootste risico is geen duidelijke fout: het is stille throttling. Een bot die geleidelijk wordt vertraagd kan schijnbaar blijven werken, maar levert dan gedeeltelijke data, slaat producten over of accumuleert latencies die de betrouwbaarheid van de pipeline ondermijnen zonder expliciete fouten te genereren.

Controleren hoe de eigen integraties verzoeken ondertekenen naar de Storefront API is de eerste stap. Als de handtekening ontbreekt, is het verstandig deze toe te voegen voordat throttling een concreet operationeel probleem wordt.

Voor wie nieuwe integraties bouwt of bestaande bijwerkt, moet Web Bot Auth worden beschouwd als een basisvereiste, niet als een optimalisatie die kan worden uitgesteld. De officiële referentiedocumentatie is beschikbaar in de Shopify-changelog.

Implicaties voor Shopify-ontwikkelaars

Wie commerce-agents, geautomatiseerde integraties of tools ontwikkelt die namens merchants de Storefront API benaderen, moet de architectuur van zijn HTTP-verzoeken herzien. De te controleren punten zijn:

• Of de gebruikte HTTP-client het toevoegen van aangepaste ondertekeningsheaders ondersteunt
• Of de ondertekeningslogica gecentraliseerd is en niet verspreid over meerdere plekken in de code
• Of het ondertekeningsprotocol expliciet wordt getest en niet als vanzelfsprekend wordt beschouwd
• Of er een proces bestaat om handtekeningen bij te werken als de Shopify-specificaties evolueren

Voor meer informatie over hoe wij Shopify-integraties structureren met geautomatiseerde toegang tot de Storefront API, kun je onze plannen voor Shopify-ontwikkelaars raadplegen.

Conclusie

Het rate limiting-beleid van Shopify voor anonieme bots en agents is al van kracht. Wie zijn verzoeken niet ondertekent met Web Bot Auth, opereert al onder de meest restrictieve voorwaarden van het platform. De handtekening implementeren is geen preventieve maatregel voor de toekomst: het is een noodzakelijke correctie om vandaag betrouwbaar te kunnen werken.