Shopify Rails应用程序 - Querystring欺骗

Question

我正在使用Rails开发Shopify应用程序，并且一直使用查询字符串来检测哪个商店正在访问它。这似乎很脆弱，因为用户可以更改网址以访问其他人的设置。

下面是一个例子：

我点击的偏好上我的应用程序链接，并得到重定向到http://example-app.com/preferences?shop=example.myshopify.com并获得相关的商店设置的页面：example.myshopify.com

那么什么是停止用户将查询字符串更改为http://example-app.com/preferences?shop=notmystore.myshopify.com并登录到他们不拥有的商店？

我应该使用身份验证宝石（https://www.ruby-toolbox.com/categories/rails_authentication）并让每个用户创建用户名和密码以防止欺骗攻击吗？

Answer 1

我找到了解决办法是始终在您的会话变量，而不是从查询字符串检索店网址：

session[:shopify].url

也确保这是在每个控制器的顶部，以确保所述shopify会话存在：如本

around_filter :shopify_session

：https://github.com/Shopify/shopify_app/blob/f9aca7dfc9c29350f7f2c01bb72f77a54ece2b77/lib/generators/shopify_app/templates/app/controllers/home_controller.rb

Answer 2

这个问题可能太过本地化，但我会尽力给你一个方向。

如果您使用查询字符串作为唯一的身份验证方法，那么是的，您将遭到黑客攻击/欺骗等等。您需要执行某种形式的身份验证。 - Shopify提供的API可能可以为您处理一些/大部分的事情。

https://github.com/shopify/shopify_api

Answer 3

有趣。有现场制作的Shopify应用程序商店应用程序，做了你做了什么保罗。当我发现这样的应用程序时，我通知Shopify，并且他们迅速地关节包装了App开发人员。他很快吸取了教训，希望非常尴尬。

Shopify合作伙伴账户（免费获得），为您提供一个很好的API令牌，并为您的应用对应的秘密，你可以用它来确保当你得到一个商人试图访问你的应用程序传入店

• 实际上是安装在您的应用程序商店，并
• 他们必须使用你的应用程序

你真的应该检查出来的权利。