Storefront API / Shopify ホスティングのオンラインストアにアクセスする bot ・ agent に対して、Shopify が厳しいレート制限を適用開始。署名なしリクエストは最も厳しい枠に押し込まれる。高い枠が欲しければ Web Bot Auth でリクエストに署名する。
名乗らない bot は誰のものか判別できないため、最厳格枠に入る。爆撃に近いアクセスはここで止まる。
自分が誰の bot かを暗号署名で名乗ることで、Shopify 側がより寛容なレート制限を適用する。
商品・コレクション・在庫情報などを GraphQL で叩く全クライアント。bot や agent からのアクセスはここで識別される。
テーマでレンダリングされる公開ページ。クローラー・スクレイパー・LLM の取得対象になる HTML 全般。
クローラー・サーチエージェント・LLM ベースの取得エージェント等、人間以外がストアに来るトラフィックすべて。
| 項目 | 署名なし(無対応のまま) | Web Bot Auth で署名済み |
|---|---|---|
| レート制限 | 最厳格 最も厳しい枠 | 高めの枠 緩和される |
| 身元の識別 | できない(誰の bot か不明) | 署名鍵で識別される |
| 運用安定性 | 429 で止まりやすい | 安定して回せる |
| 追加コスト | — | 記載なし |
| さらに高い枠が必要 | — | 専用フォームから Shopify に申請可能 |
仕様の全体像(鍵・署名ヘッダ・検証フロー)を理解する。
あくまで参照用。Cloudflare に登録する必要はない。
Storefront API / オンラインストアへのアクセス時に署名を必ず付与する。
自分のストアをクロールしたい Shopify マーチャントは、Shopify admin から ready-to-use な Web Bot Auth 署名を取得できる。自前で鍵生成・実装フローを組まずに、自社クローラーに即適用可能。
Shopify が告知タグに Action Required を明示している。bot や agent を運用している側の能動的対応が前提。放置すると最厳格枠に固定される。
Web Bot Auth は API キーで権限を取る仕組みではなく、bot が「自分は誰か」を暗号署名で名乗るための仕組み。Shopify はそれを根拠にレート枠を配分する。
Storefront API(プログラム的アクセス)に加えて、Shopify ホスト型オンラインストアの HTML ページも対象。LLM 系のクローラーが取りに来るルートも含まれる。
参考実装として Cloudflare の guide が案内されるが、Shopify は「for context only / enroll する必要はない」と明示。Web Bot Auth は標準仕様ベースで自前実装すればよい。
Web Bot Auth で署名しても枠が足りない場合、Shopify に対して個別フォームから高階層アクセスを申請可能。マーチャント直営の正当な bot や、大規模商品同期ジョブなどでは、まず L2 を満たしたうえで L3 を交渉するのが現実的な戦略になる。