Kingsbell propose une expérience pour clients connectés, membres identifiés par tag et clients B2B. Ces fonctions contrôlent la présentation Liquid ; elles ne protègent pas à elles seules produits, API, fichiers, panier ou checkout.
États de présentation
L’évaluateur partagé accepte l’accès public, tout client connecté, un tag client requis, un contexte B2B ou la combinaison tag/B2B.
Capacités du thème
- section Member gate avec blocs de thème et app blocks ;
- tableau de bord avec identité, commandes et contexte B2B ;
- formulaire Shopify de demande d’accès ;
- lien membre tenant compte de la session ;
- routes officielles de compte ;
- gates optionnels dans les produits et collections privés.
Modèles
page.member-hub.json
page.member-resources.json
page.member-request.json
product.private.json
collection.private.jsonLes modèles privés utilisent par défaut le tag member ou un client B2B authentifié.
Ce que Liquid peut masquer
Le thème peut éviter de rendre médias, descriptions, prix, variants, grilles, filtres, ajout rapide et formulaires d’achat pour les visiteurs non autorisés.
Ce que Liquid ne sécurise pas
Il ne sécurise pas la publication produit, les index de recherche, Storefront API, les API panier, les identifiants directs, les fichiers permanents, le checkout, les remises ou l’inventaire.
Ne publiez pas un produit confidentiel en supposant qu’une condition Liquid le rend privé.
Contrôles d’autorisation
Selon le modèle commercial, utilisez :
- publication et catalogues Shopify ;
- marchés et affectations B2B de société et d’emplacement ;
- Shopify Functions lorsque pertinent ;
- application complémentaire avec autorisation serveur ;
- livraison contrôlée des fichiers ;
- journalisation, expiration et révocation des droits.
La présentation et l’état commerce autoritatif doivent correspondre.
Identité, tags et B2B
Shopify Customer Accounts reste l’autorité d’identité. Les tags peuvent refléter un statut simple, mais ne devraient pas être la seule source de droits complexes.
Définissez précisément les tags, retirez-les à expiration ou révocation, et testez clients sans tag, avec le bon tag, avec des tags sans rapport et en contexte B2B.
Demandes d’accès
Le formulaire enregistre une demande ; il ne l’approuve pas. Définissez réception, vérification, décision, mise à jour du droit, notification, expiration, suspension et révocation.
Application complémentaire
MEMBER-COMPANION.md et companion/member-entitlement.schema.json décrivent états, scopes, miroirs tags/metafields, administration, app blocks, extensions de compte, autorisation backend et audit.
Toute opération protégée doit être validée côté serveur.
Matrice de test
Testez visiteur, client sans accès, membre, droit expiré, client B2B, URL directes, recherche, médias, panier, checkout, Storefront API, connexion/déconnexion, formulaire et changement de droit en cours de session.
Un modèle privé n’est prêt que lorsque présentation et autorisation réelle sont toutes deux validées.