Shopify Web Bot Auth: rate limit Storefront API dla botów i agentów

Co zmieniło się w Storefront API Shopify

Shopify zaktualizowało politykę ograniczania liczby żądań dla botów i automatycznych agentów korzystających ze Storefront API oraz stron hostowanych sklepów. Zasada jest prosta: niepodpisane żądania otrzymują najbardziej restrykcyjne dostępne limity, niezależnie od jakości kodu, który je generuje.

To nie jest drobna zmiana. To decyzja infrastrukturalna, która redefiniuje warunki działania dla każdego, kto zarządza automatycznym dostępem do storefront Shopify.

Logika throttlingu dla anonimowych botów

Mechanizm jest binarny w swoim podstawowym założeniu:

• Boty bez podpisu: podlegają najbardziej agresywnemu throttlingowi. Nie ma wyjątków związanych z częstotliwością żądań ani jakością implementacji.
• Boty podpisane za pomocą Web Bot Auth: kwalifikują się do wyższych progów rate limit, wystarczających dla większości przypadków automatyzacji.
• Wyższe poziomy: dostępne po bezpośrednim kontakcie z Shopify przez dedykowany formularz, dla potrzeb wykraczających poza to, co Web Bot Auth gwarantuje domyślnie.

Dobrze napisany crawler SEO, zoptymalizowany monitor cen czy poprawnie skonstruowany agent AI są traktowane dokładnie tak samo jak każdy inny anonimowy bot, jeśli żądania nie zawierają ważnego podpisu. Jakość implementacji nie wpływa na przypisany poziom — liczy się wyłącznie obecność podpisu.

Czym jest Web Bot Auth i jak działa

Web Bot Auth to mechanizm podpisywania wymagany przez Shopify do weryfikowalnej identyfikacji botów i automatycznych agentów. Nie jest to system rejestracji w zewnętrznej platformie — nie trzeba zakładać konta w Cloudflare ani w żadnych usługach trzecich.

Architektura wymaga podpisywania wychodzących żądań HTTP do Storefront API zgodnie ze specyfikacją opublikowaną przez Shopify. Dla merchantów zarządzających własnymi sklepami podpisy są już dostępne w panelu administracyjnym Shopify bez dodatkowej konfiguracji.

Dla tych, którzy tworzą własne integracje, pipeline scrapingowe lub agenty commerce, implementacja podpisu musi odbywać się na poziomie kodu, w warstwie budującej i wysyłającej żądania HTTP.

Których przypadków użycia dotyczy zmiana

Modyfikacja dotyczy każdego systemu, który automatycznie uzyskuje dostęp do Storefront API lub hostowanych stron. Najczęstsze przypadki to:

• Crawlery SEO indeksujące lub monitorujące katalogi produktów
• Monitory cen i dostępności
• Agenty AI i pipeline automatyzacji commerce
• Systemy synchronizacji stanów magazynowych
• Narzędzia do automatycznego testowania storefront
• Każdy skrypt odpytujący Storefront API bez udziału człowieka

Żaden z tych scenariuszy nie jest wyłączony z nowej polityki. Jeśli klient HTTP nie podpisuje żądań, bot jest klasyfikowany jako anonimowy i otrzymuje najniższe limity.

Dlaczego warto wdrożyć Web Bot Auth od razu

Główne ryzyko to nie oczywisty błąd — to cichy throttling. Bot, który jest stopniowo spowalniany, może pozornie działać normalnie, zwracając niekompletne dane, pomijając produkty lub gromadząc opóźnienia, które podważają niezawodność pipeline bez generowania jawnych błędów.

Przeprowadzenie audytu sposobu podpisywania żądań przez własne integracje do Storefront API to pierwszy krok. Jeśli podpis nie jest obecny, dodanie go zanim throttling stanie się realnym problemem operacyjnym to właściwa decyzja.

Dla tych, którzy budują nowe integracje lub aktualizują istniejące, Web Bot Auth należy traktować jako wymóg bazowy, a nie optymalizację do odłożenia na później. Oficjalna dokumentacja jest dostępna w changelogu Shopify.

Konsekwencje dla deweloperów pracujących na Shopify

Osoby tworzące agenty commerce, zautomatyzowane integracje lub narzędzia uzyskujące dostęp do Storefront API w imieniu merchantów muszą zrewidować architekturę swoich żądań HTTP. Punkty do weryfikacji:

• Czy używany klient HTTP obsługuje dodawanie niestandardowych nagłówków podpisu
• Czy logika podpisywania jest scentralizowana, a nie rozproszona w wielu miejscach kodu
• Czy mechanizm podpisywania jest explicite testowany, a nie zakładany z góry
• Czy istnieje proces aktualizacji podpisów w przypadku ewolucji specyfikacji Shopify

Aby dowiedzieć się, jak strukturyzujemy integracje Shopify z automatycznym dostępem do Storefront API, zapoznaj się z naszymi planami dla deweloperów Shopify.

Podsumowanie

Polityka rate limitingu Shopify dla anonimowych botów i agentów jest już aktywna. Kto nie podpisuje swoich żądań za pomocą Web Bot Auth, działa już w najbardziej restrykcyjnych warunkach przewidzianych przez platformę. Wdrożenie podpisu to nie środek zapobiegawczy na przyszłość — to niezbędna korekta, aby działać niezawodnie już dziś.