【Shopify.dev和訳】Apps/SApp Store/Security/Secure Tokens
この記事について
この記事は、Apps/Shopify App Store/Security/Secure Tokensの記事を和訳したものです。
記事内で使用する画像は、公式ドキュメント内の画像を引用して使用させていただいております。
Shopify アプリのご紹介
Shopify アプリである、「商品ページ発売予告アプリ | リテリア Coming Soon」は、商品ページを買えない状態のまま、発売日時の予告をすることができるアプリです。Shopify で Coming Soon 機能を実現することができます。
Shopify アプリである、「らくらく日本語フォント設定|リテリア Font Picker」は、ノーコードで日本語フォントを使用できるアプリです。日本語フォントを導入することでブランドを演出することができます。
安全なトークンの生成
ユーザーの認証にトークンを使用している場合、Shopify のマーチャント データのセキュリティを確保するために、トークンが 128 ビットのエントロピーでランダムに生成されていることを確認する必要があります。トークンの長さが問題となる場合には、64 ビットを許可する場合もあります。
トークンが一般にアクセス可能な場合(たとえば、URL のパラメータとして含まれる場合)、トークンの有効期限が 7 日以内であることを確認し、トークンが第三者に漏洩したり、インデックス化されたりしないようにする必要があります。
十分なエントロピーを持たないトークンや、有効期限のないトークン、または第三者に漏洩したりインデックス化されたりする可能性のあるトークンがアプリで使用されていることが検出された場合、アプリは拒否されます。再審査のためにアプリを提出する前に、特定された問題を修正することが求められます。
以下のリンクは、いくつかの一般的なプログラミング言語用の安全なランダムトークンを生成するために使用することができます。
個人情報へのアクセスを認証するためにトークンを使用する場合、その個人情報が検索エンジンにインデックスされないようにする必要があります。Google のガイド'noindex'を使用して検索インデックス登録をブロックするでは、検索インデックスを防ぐために HTML メタタグを適切に設定する方法が説明されています。また、トークンを受け取るアプリの URL は、HTTP レスポンスに、origin-when-cross-originまたはできればno-referrerの値を持つReferrer-Policyヘッダーを含めるようにしなければなりません。
Shopify アプリのご紹介
Shopify アプリである、「商品ページ発売予告アプリ | リテリア Coming Soon」は、商品ページを買えない状態のまま、発売日時の予告をすることができるアプリです。Shopify で Coming Soon 機能を実現することができます。
Shopify アプリである、「らくらく日本語フォント設定|リテリア Font Picker」は、ノーコードで日本語フォントを使用できるアプリです。日本語フォントを導入することでブランドを演出することができます。
Discussion