Narzędzie

Generator Shopify Access Token — gotowe narzędzie do OAuth w 2026

Jeżeli potrzebujesz Admin API access tokenu po zmianach w Shopify, nie musisz już ręcznie składać URL-a OAuth ani korzystać z webhook.site. Przygotowaliśmy prostą aplikację, która generuje Callback URL, adres autoryzacji i pokazuje token po powrocie z Shopify.

8 min czytania

Dla kogo jest to narzędzie

W poprzednim poradniku pokazaliśmy ręczny proces uzyskania Shopify Access Token w 2026: aplikacja w Dev Dashboard, Callback URL, autoryzacja OAuth, kod z redirectu i wymiana kodu na token. Ten wpis pokazuje prostszą ścieżkę dla osób, które chcą przejść ten sam proces bez ręcznego składania requestów.

Gotowe narzędzie: generator jest dostępny pod adresem shopify-token.coderoll.pl. Wpisujesz dane aplikacji Shopify, kopiujesz wygenerowany Callback URL do ustawień aplikacji, przechodzisz przez autoryzację i odbierasz Admin API access token.

Przejdź od razu do generatora tokenu

Otwórz narzędzie w nowej karcie, wygeneruj Callback URL i wróć do tego poradnika podczas konfiguracji aplikacji Shopify.

Otwórz generator: shopify-token.coderoll.pl

Narzędzie jest przydatne zwłaszcza wtedy, gdy potrzebujesz tokenu dla jednego sklepu, do integracji wewnętrznej, migracji, importera, eksportera danych albo szybkiego prototypu. Jeżeli budujesz publiczną aplikację dla wielu sklepów, nadal powinieneś wdrożyć pełny flow OAuth we własnej aplikacji.

Co robi generator

Generator nie tworzy aplikacji Shopify za Ciebie i nie wybiera uprawnień automatycznie. Automatyzuje tylko techniczny fragment OAuth, który w ręcznym procesie jest najbardziej podatny na pomyłki.

1

Generuje Callback URL

To publiczny adres HTTPS, który trzeba wkleić w konfiguracji aplikacji Shopify jako adres przekierowania po autoryzacji.

2

Buduje adres autoryzacji

Na podstawie domeny sklepu, Client ID, Callback URL i scope'ów tworzy właściwy URL do Shopify OAuth.

3

Weryfikuje powrót z Shopify

Po przekierowaniu z Shopify sprawdza parametry odpowiedzi, w tym podpis HMAC i stan sesji OAuth.

4

Wymienia kod na token

Aplikacja wykonuje request do endpointu /admin/oauth/access_token i pokazuje otrzymany Admin API access token tylko raz.

Sam mechanizm jest zgodny z autoryzacją opisaną w dokumentacji Shopify: aplikacja inicjuje authorization code grant, a następnie wymienia jednorazowy kod na token. Shopify zaleca też weryfikowanie przyznanych scope'ów, ponieważ użytkownik może ostatecznie nie nadać wszystkiego, o co prosi aplikacja.

Dokumentacja referencyjna: authorization code grant oraz Shopify API access scopes.

Czego potrzebujesz

Zanim wejdziesz do generatora, przygotuj cztery rzeczy z panelu Shopify Dev Dashboard:

  • Domena sklepu w formacie twoj-sklep.myshopify.com — nie własna domena marki.
  • Client ID aplikacji Shopify — dostępny w danych aplikacji.
  • Client Secret aplikacji Shopify — potrzebny do wymiany kodu OAuth na token.
  • Lista scope'ów — np. read_products, write_products, read_orders.
Nie zgaduj scope'ów. Zaznaczaj tylko uprawnienia, których faktycznie wymaga integracja. Jeżeli skrypt tylko czyta produkty, nie dodawaj uprawnień do zapisu zamówień, klientów ani rabatów.

Krok 1: Przygotuj aplikację Shopify

Najpierw utwórz aplikację w Shopify Dev Dashboard albo otwórz aplikację, którą już masz. W tym miejscu interesują nas dane klienta OAuth i konfiguracja adresów przekierowań.

Krok 1.1

Wejdź do Shopify Dev Dashboard

Otwórz https://dev.shopify.com, przejdź do aplikacji i sprawdź sekcję z danymi OAuth. Skopiuj Client ID i przygotuj Client Secret.

Krok 1.2

Ustal zakres integracji

Spisz, czego aplikacja ma dotykać w Shopify: produkty, stany magazynowe, zamówienia, klienci, metaobiekty, strony sklepu albo inne zasoby.

Krok 1.3

Nie zamykaj panelu Shopify

Za chwilę wrócisz do konfiguracji aplikacji, żeby wkleić wygenerowany Callback URL i wydać wersję aplikacji z właściwymi scope'ami.

Krok 2: Wypełnij generator

Otwórz narzędzie: https://shopify-token.coderoll.pl. Formularz ma cztery pola:

  • Domena sklepu — np. twoj-sklep.myshopify.com.
  • Client ID — identyfikator aplikacji z Shopify Dev Dashboard.
  • Client Secret — sekret aplikacji, używany do wymiany kodu na token.
  • Scopes — lista scope'ów oddzielona przecinkami, spacjami albo nowymi liniami.

Po wysłaniu formularza zobaczysz trzy wartości: Callback URL, adres autoryzacji Shopify oraz link do ponownego otwarcia przepływu w tej samej sesji przeglądarki. Przepływ jest czasowy i nie powinien być zostawiany na później.

Pracuj w jednej sesji. Nie zaczynaj procesu w trybie prywatnym, jeśli za chwilę zamierzasz otworzyć autoryzację w innym profilu przeglądarki. Generator musi rozpoznać powrót z Shopify w tej samej sesji.

Krok 3: Skopiuj Callback URL do Shopify

Najważniejsza część konfiguracji to Callback URL. Shopify przekieruje na ten adres po zatwierdzeniu instalacji aplikacji, więc adres musi być wpisany dokładnie tak, jak pokazał go generator.

Krok 3.1

Skopiuj Callback URL z generatora

Użyj przycisku kopiowania przy polu Callback URL. Adres zawiera identyfikator konkretnego przepływu OAuth.

Krok 3.2

Wklej go w opcjach aplikacji Shopify

W konfiguracji aplikacji znajdź pole Adresy URL przekierowań albo Allowed redirection URL(s) i dodaj skopiowany adres.

Krok 3.3

Zapisz konfigurację

Jeżeli Shopify wymaga też pola App URL, możesz użyć adresu generatora albo adresu swojej aplikacji. Kluczowe jest to, żeby Callback URL był na liście dozwolonych przekierowań.

Adres musi być identyczny. Jeżeli w URL-u zmieni się choćby jeden znak, Shopify odrzuci przekierowanie albo generator nie znajdzie rozpoczętego przepływu.

Krok 4: Zaznacz scopes i wydaj wersję

Callback URL to tylko połowa konfiguracji. Druga połowa to poprawne scope'y, czyli zakresy dostępu do Admin API. Muszą być spójne w dwóch miejscach: w Shopify Dev Dashboard oraz w formularzu generatora.

Jak dobrać scopes

Scope'y zależą od tego, co ma robić integracja. Przykłady:

  • read_products — odczyt produktów, wariantów i kolekcji.
  • write_products — zapis produktów; zwykle implikuje też potrzebę pracy na produktach.
  • read_inventory i write_inventory — odczyt lub zmiana stanów magazynowych.
  • read_orders — odczyt zamówień z podstawowego okna czasowego Shopify.
  • read_all_orders — dostęp do starszych zamówień; ten scope może wymagać dodatkowej zgody w Partner Dashboard.

Wydanie wersji aplikacji

Po zmianie Callback URL albo scope'ów zapisz konfigurację i wydaj nową wersję aplikacji. W praktyce oznacza to przejście do sekcji wersji lub dystrybucji aplikacji i opublikowanie aktualnej konfiguracji, zanim otworzysz adres autoryzacji.

Najczęstszy błąd: użytkownik kopiuje Callback URL, zaznacza scope'y, ale nie wydaje wersji aplikacji. Potem Shopify pokazuje starą konfigurację albo nie nadaje oczekiwanych uprawnień.

Krok 5: Odbierz token

Po zapisaniu konfiguracji wróć do generatora i otwórz adres autoryzacji Shopify. Shopify pokaże ekran zgody z listą uprawnień. Po zatwierdzeniu nastąpi przekierowanie na Callback URL, a generator wymieni kod OAuth na token.

Krok 5.1

Otwórz adres autoryzacji

Najlepiej użyj przycisku Otwórz Shopify w generatorze. Musisz być zalogowany do sklepu jako użytkownik z uprawnieniami do instalowania aplikacji.

Krok 5.2

Zatwierdź instalację

Sprawdź listę scope'ów na ekranie Shopify. Jeżeli lista nie zgadza się z tym, czego oczekujesz, wróć do konfiguracji aplikacji i wydaj poprawioną wersję.

Krok 5.3

Skopiuj Access Token

Po powrocie z Shopify generator pokaże wynik wymiany OAuth. Skopiuj token od razu i zapisz go w bezpiecznym miejscu, np. w secret managerze albo zmiennej środowiskowej integracji.

Tokenu używa się w nagłówku X-Shopify-Access-Token przy wywołaniach REST Admin API i GraphQL Admin API. Przykład:

curl https://twoj-sklep.myshopify.com/admin/api/2026-01/products.json \
  -H "X-Shopify-Access-Token: shpat_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

Bezpieczeństwo

Client Secret i Admin API access token są sekretami produkcyjnymi. Traktuj je tak samo jak hasła do infrastruktury. Nie wklejaj ich do publicznych zgłoszeń, repozytoriów, zrzutów ekranu ani dokumentów przekazywanych poza zaufanym zespołem.

Jak działa generator: przepływ OAuth działa w sesji przeglądarki, odpowiedzi są oznaczane jako no-store, a token jest pokazywany jednorazowo po udanej wymianie kodu. Odświeżenie strony albo ponowne użycie tego samego Callback URL nie powinno służyć do odzyskiwania tokenu.

Jeżeli Twoja organizacja ma politykę, która zabrania wpisywania Client Secret do narzędzi zewnętrznych, nie używaj publicznego generatora. W takiej sytuacji wdroż własny endpoint OAuth albo przejdź przez ręczny proces opisany w poprzednim poradniku, uruchamiając wymianę kodu we własnym środowisku.

Po uzyskaniu tokenu warto wykonać szybki test scope'ów: wywołać endpoint, którego potrzebuje integracja, i sprawdzić, czy Shopify nie zwraca błędu autoryzacji. Jeśli brakuje uprawnień, zaktualizuj scope'y, wydaj nową wersję aplikacji i przejdź flow jeszcze raz.

Podsumowanie

Generator skraca proces uzyskania Shopify Admin API access tokenu do kilku kroków: dane aplikacji, Callback URL, scope'y, wydanie wersji, autoryzacja i jednorazowe skopiowanie tokenu. Nie zastępuje dobrego projektu integracji, ale usuwa najnudniejszą część ręcznego OAuth.

  • Użyj https://shopify-token.coderoll.pl, jeśli potrzebujesz tokenu dla konkretnego sklepu.
  • Callback URL z generatora wklej w Shopify w pole Adresy URL przekierowań.
  • Scope'y muszą być zaznaczone w Shopify i wpisane w generatorze.
  • Po zmianie konfiguracji wydaj wersję aplikacji przed otwarciem linku autoryzacji.
  • Token skopiuj od razu i przechowuj jak sekret produkcyjny.
Chcesz zrozumieć ręczny proces? Zobacz też pełny poradnik jak uzyskać Shopify Access Token w 2026, gdzie opisujemy OAuth krok po kroku, razem z ręczną wymianą kodu na token.

Potrzebujesz produkcyjnej integracji Shopify?

Budujemy aplikacje Shopify, integracje z ERP, PIM i CRM, obsługę OAuth, webhooki, synchronizacje danych i customowe panele dla zespołów e-commerce.

Zleć integrację Shopify