Shopify Rails應用程序 - Querystring欺騙

Question

我正在使用Rails開發Shopify應用程序，並且一直使用查詢字符串來檢測哪個商店正在訪問它。這似乎很脆弱，因爲用戶可以更改網址以訪問其他人的設置。

下面是一個例子：

我點擊的偏好上我的應用程序鏈接，並得到重定向到http://example-app.com/preferences?shop=example.myshopify.com並獲得相關的商店設置的頁面：example.myshopify.com

那麼什麼是停止用戶將查詢字符串更改爲http://example-app.com/preferences?shop=notmystore.myshopify.com並登錄到他們不擁有的商店？

我應該使用身份驗證寶石（https://www.ruby-toolbox.com/categories/rails_authentication）並讓每個用戶創建用戶名和密碼以防止欺騙攻擊嗎？

Answer 1

我找到了解決辦法是始終在您的會話變量，而不是從查詢字符串檢索店網址：

session[:shopify].url

也確保這是在每個控制器的頂部，以確保所述shopify會話存在：如本

around_filter :shopify_session

：https://github.com/Shopify/shopify_app/blob/f9aca7dfc9c29350f7f2c01bb72f77a54ece2b77/lib/generators/shopify_app/templates/app/controllers/home_controller.rb

Answer 2

這個問題可能太過本地化，但我會盡力給你一個方向。

如果您使用查詢字符串作爲唯一的身份驗證方法，那麼是的，您將遭到黑客攻擊/欺騙等等。您需要執行某種形式的身份驗證。 - Shopify提供的API可能可以爲您處理一些/大部分的事情。

https://github.com/shopify/shopify_api

Answer 3

有趣。有現場製作的Shopify應用程序商店應用程序，做了你做了什麼保羅。當我發現這樣的應用程序時，我通知Shopify，並且他們迅速地關節包裝了App開發人員。他很快吸取了教訓，希望非常尷尬。

Shopify合作伙伴賬戶（免費獲得），爲您提供一個很好的API令牌，併爲您的應用對應的祕密，你可以用它來確保當你得到一個商人試圖訪問你的應用程序傳入店

• 實際上是安裝在您的應用程序商店，並
• 他們必須使用你的應用程序

你真的應該檢查出來的權利。