Shopify expiring token 2027: obowiązkowa migracja dla publicznych aplikacji

Termin, którego zespoły techniczne nie mogą zignorować

Od 1 stycznia 2027 wszystkie publiczne aplikacje korzystające z Admin API Shopify będą musiały wdrożyć expiring offline access token. Aplikacje nadal używające tokenów bez terminu ważności będą otrzymywać błędy uwierzytelniania. To nie jest zalecenie — to zmiana infrastrukturalna z konkretną datą i bezpośrednimi konsekwencjami operacyjnymi.

Zmiana nie jest całkowicie nowa. Od 1 kwietnia 2026 reguła obowiązuje już dla publicznych aplikacji utworzonych po tej dacie. Rozszerzenie na istniejące aplikacje — w tym te opracowane przed kwietniem 2026 — to novum, które wymusza pilną rewizję harmonogramów prac.

Dlaczego tokeny bez terminu ważności stanowią problem bezpieczeństwa

Tradicjonalny token dostępu, raz wydany, pozostaje ważny bezterminowo. Jeśli zostanie skompromitowany — przez wyciek danych, ujawniony log lub przypadkowo upublicznione repozytorium — atakujący uzyskuje trwały dostęp do Admin API merchanta.

Expiring offline access token działają w zasadniczo odmienny sposób:

• Automatyczna invalidacja po 60 minutach od wydania
• Automatyczna rotacja: przy każdym odświeżeniu wydawany jest nowy token
• Drastycznie zredukowane okno ryzyka: nawet w razie kompromitacji token staje się bezużyteczny w krótkim czasie

Istota sprawy nie leży w zgodności z OAuth. Chodzi o realną różnicę między naruszeniem bezpieczeństwa, które można zawrzeć, wykryć i ograniczyć, a cichą kompromitacją mogącą trwać latami bez wykrycia.

Których aplikacji dotyczy zmiana

Przed podjęciem jakichkolwiek działań warto precyzyjnie określić zakres:

• Aplikacje publiczne dystrybuowane w App Store Shopify lub przez bezpośredni link instalacyjny: objęte zmianą
• Aplikacje utworzone po 1 kwietnia 2026: już podlegają regule
• Aplikacje publiczne utworzone przed 1 kwietnia 2026: podlegają terminowi 1 stycznia 2027
• Custom app (aplikacje tworzone dla jednego konkretnego merchanta): nie są objęte
• Aplikacje tworzone bezpośrednio przez merchantów z panelu Partner: nie są objęte

Jeśli zarządzasz jedną lub kilkoma publicznymi aplikacjami, weryfikacja stanu tokenów jest pierwszym krokiem operacyjnym.

Co muszą zrobić zespoły techniczne

1. Audyt aktywnych tokenów

Pierwsze działanie to rozpoznanie, które publiczne aplikacje nadal używają tokenów bez terminu ważności. Wymaga to weryfikacji aktualnej konfiguracji OAuth oraz typu tokena przechowywanego w bazie danych lub systemie storage.

2. Wdrożenie przepływu token exchange

Migracja nie wymaga ponownej instalacji aplikacji przez merchantów. Shopify udostępnia przepływ token exchange, który pozwala przekonwertować istniejący token bez terminu ważności na expiring token poprzez wywołanie API po stronie serwera. Operacja jest całkowicie przezroczysta dla merchanta.

Podstawowe kroki przepływu:

• Wykonaj wywołanie do endpoint token exchange z istniejącym tokenem offline
• Odbierz nowy expiring token oraz powiązany refresh token
• Zastąp token w storage bez żadnych przerw w działaniu usługi

3. Aktualizacja logiki storage

Expiring token wymagają, aby infrastruktura obsługiwała również refresh token. Konieczna jest aktualizacja schematu bazy danych lub systemu zarządzania sekretami w celu przechowywania zarówno bieżącego tokena, jak i refresh tokena wraz z odpowiadającą im datą wygaśnięcia.

4. Weryfikacja użycia oficjalnych bibliotek

Jeśli korzystasz z oficjalnych bibliotek Shopify (takich jak @shopify/shopify-api dla Node.js lub odpowiednika w Ruby gem), automatyczna obsługa odświeżania jest już wbudowana. W takim przypadku praca sprowadza się do jednorazowego wykonania token exchange dla istniejących tokenów. Biblioteki zarządzają późniejszym cyklem życia tokena samodzielnie.

Harmonogram i priorytety

Termin 1 stycznia 2027 może wydawać się odległy, ale czas techniczny potrzebny na audyt, rozwój, testy i wdrożenie na produkcję szybko się kumuluje. Dodanie tego zadania do harmonogramu w grudniu 2026 oznacza pracę pod presją z ryzykiem błędów.

Zespoły zarządzające wieloma publicznymi aplikacjami lub posiadające złożoną infrastrukturę powinny rozpocząć planowanie w pierwszej połowie 2026 roku, rezerwując wystarczający czas na testy regresji i obsługę przypadków brzegowych (tokeny już wygasłe, merchantowie z bardzo długimi aktywnymi sesjami, integracje z systemami zewnętrznymi).

Aby ocenić zasoby i koszty migracji, zapoznaj się z naszą stroną plany i ceny dla deweloperów Shopify.

Podsumowanie operacyjne

Przejście na expiring offline access token to nie jest rutynowa operacja. Wymaga zmian w przepływie OAuth, aktualizacji storage, weryfikacji używanych bibliotek oraz strategii wdrożenia, która nie zakłóci działania aktywnych merchantów. Przeprowadzona prawidłowo, jest również okazją do wzmocnienia postawy bezpieczeństwa całej integracji z ekosystemem Shopify.