在 Altair GraphQL Client 中请求 Shopify’s Store GraphQL API

1、参考：https://www.shuijingwanwq.com/2022/03/15/6129/ 。Shopify’s GraphQL Admin API 中，不存在一些在线商店的 API。

2、Shopify 后台的在线商店，请求网址: https://xxx.myshopify.com/admin/online-store/admin/api/unversioned/graphql?operation=ThemeIndexSecondaryData 。请求方法: POST 。响应主题列表。如图1

图1

3、在网址：https://shopify.dev/api 中未找到在线商店相关的 GraphQL API。如图2

图2

4、在 /admin/api/2022-01/graphql.json 的文档中搜索：ThemeIndexSecondaryData，未找到(注：这仅是查询的别名，应该基于载荷中的请求参数搜索)。如图3

图3

5、在 Altair GraphQL Client 中，设置请求网址：https://xxx.myshopify.com/admin/online-store/admin/api/unversioned/graphql?operation=ThemeIndexSecondaryData

6、Shopify 后台的在线商店，复制请求载荷中 query 的值，右键 – 复制值。然后再复制 请求载荷中 variables 的值。如图4

图4

7、分别粘贴至 Altair GraphQL Client 的查询与变量中。如图5

图5

8、设置 Headers，Content-Type:application/json，Authorization:Bearer xxxx，xxxx 的值复制自请求标头中的 authorization。如图6

图6

9、响应 Unauthorized，仔细对比请求头中的差异，发现 Altair GraphQL Client 中多出 cookie，决定去除掉。如图7

图7

10、在 Postman 中试验调用，仍然响应 Unauthorized。如图8

图8

11、分析发现由于 authorization 的值，是先请求生成的。复制 Headers，x-csrf-token: oO73nzXt-GNexB7LPmAZnm70wjWB9fKRLMvU。如图9

图9

12、决定在 Altair GraphQL Client 中 请求网址: https://fuyan666.myshopify.com/admin/internal/web/graphql/core?operation=GenerateSessionToken&type=mutation 。请求方法: POST 。设置 Headers，x-csrf-token: oO73nzXt-GNexB7LPmAZnm70wjWB9fKRLMvU。否则响应 CSRF。如图10

图10

13、复制响应的 session ，粘贴至 请求网址：https://xxx.myshopify.com/admin/online-store/admin/api/unversioned/graphql?operation=ThemeIndexSecondaryData 的 Headers 的 Authorization 中。请求响应成功。如图11

图11

14、重载文档响应成功。如图12

图12