כאשר מבטלים גישה, ה-access token או ה-session token הפעיל מבוטל בצד שרת של Shopify — גם אם המכשיר עדיין מחזיק עותק שלו, הוא לא יתקבל בקריאה הבאה. הפעולה רלוונטית לשלושה מקרים: מכשיר שאבד או נגנב, עובד שעזב ויש לנתק את גישתו לאדמין, ואפליקציה מותקנת שמתגלה בה פרצת אבטחה ויש להסיר את ה-OAuth token שלה.
בחנות ישראלית עם מספר עובדים (אדמין, שירות לקוחות, מחסן) כדאי לנהל גישה דרך Staff accounts עם הרשאות מינימליות, ולבטל גישה מיד עם סיום העסקה. ביטול גישה לאפליקציה נעשה דרך Shopify Admin ← Apps ← הסרה, וביטול session של עובד נעשה תחת Settings ← Users and permissions.