หน้านี้ได้รับการแปลโดย Cloud Translation API

ลงทะเบียนการยืนยันการชำระเงินที่ปลอดภัย

Eiji Kitamura

หากต้องการใช้การยืนยันการชำระเงินที่ปลอดภัย (SPC) ในธุรกรรม ลูกค้าต้อง ลงทะเบียน Authenticator ก่อน กระบวนการนี้คล้ายกับ WebAuthn มาก กระบวนการลงทะเบียนของคุณ ด้วยการเพิ่มส่วนขยายการชำระเงิน

ในบทความนี้ ธนาคารที่ออกบัตรที่ทำหน้าที่เป็นผู้พึ่งพา (RP) สามารถเรียนรู้วิธี เพื่อใช้การลงทะเบียน SPC มีคำอธิบายเพิ่มเติมเกี่ยวกับประสบการณ์ของผู้ใช้ใน ภาพรวมของการยืนยันการชำระเงินที่ปลอดภัย

การลงทะเบียนยืนยันการชำระเงินที่ปลอดภัยทำงานอย่างไร

SPC สร้างขึ้นเพื่อเป็นส่วนขยายของมาตรฐาน WebAuthn

ตั้งแต่เดือนเมษายน 2022 SPC รองรับเฉพาะ Authenticator ของแพลตฟอร์มที่ยืนยันผู้ใช้เท่านั้น (UVPA) บนเดสก์ท็อป ซึ่งหมายความว่าลูกค้าจะต้องใช้เดสก์ท็อปหรือแล็ปท็อป ด้วยเครื่องมือ Authenticator ที่ฝังไว้ เช่น

ปลดล็อกฟีเจอร์ Touch ID ในอุปกรณ์ macOS
Windows Hello ในอุปกรณ์ Windows

ลงทะเบียนอุปกรณ์

การลงทะเบียนอุปกรณ์ของฝ่ายที่เกี่ยวข้อง (RP) ควรเป็นไปตาม กระบวนการยืนยันตัวตนผู้ใช้ที่รัดกุมเพียงพอ RP ต้องตรวจสอบว่า ลูกค้าได้ลงชื่อเข้าใช้เว็บไซต์โดยใช้การตรวจสอบสิทธิ์ที่มีความปลอดภัยสูง เพื่อให้ บัญชีนั้นไม่สามารถถูกลักลอบใช้บัญชีได้โดยง่าย โปรดระวัง: ขาดการรักษาความปลอดภัยในขั้นตอนนี้ ทำให้ SPC มีความเสี่ยงเช่นกัน

เมื่อ RP ตรวจสอบสิทธิ์ลูกค้าเรียบร้อยแล้ว ลูกค้าก็สามารถ ลงทะเบียนอุปกรณ์

เวิร์กโฟลว์การลงทะเบียนโดยทั่วไปจากเว็บไซต์ของบุคคลดังกล่าว

การตรวจหาฟีเจอร์

ก่อนที่จะขอให้ลูกค้าลงทะเบียนอุปกรณ์ RP ต้องตรวจสอบว่า เบราว์เซอร์รองรับ SPC

const isSecurePaymentConfirmationSupported = async () => {
  if (!'PaymentRequest' in window) {
    return [false, 'Payment Request API is not supported'];
  }

  try {
    // The data below is the minimum required to create the request and
    // check if a payment can be made.
    const supportedInstruments = [
      {
        supportedMethods: "secure-payment-confirmation",
        data: {
          // RP's hostname as its ID
          rpId: 'rp.example',
          // A dummy credential ID
          credentialIds: [new Uint8Array(1)],
          // A dummy challenge
          challenge: new Uint8Array(1),
          instrument: {
            // Non-empty display name string
            displayName: ' ',
            // Transparent-black pixel.
            icon: 'data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVR42mNk+P+/HgAFhAJ/wlseKgAAAABJRU5ErkJggg==',
          },
          // A dummy merchant origin
          payeeOrigin: 'https://non-existent.example',
        }
      }
    ];

    const details = {
      // Dummy shopping details
      total: {label: 'Total', amount: {currency: 'USD', value: '0'}},
    };

    const request = new PaymentRequest(supportedInstruments, details);
    const canMakePayment = await request.canMakePayment();
    return [canMakePayment, canMakePayment ? '' : 'SPC is not available'];
  } catch (error) {
    console.error(error);
    return [false, error.message];
  }
};

isSecurePaymentConfirmationSupported().then(result => {
  const [isSecurePaymentConfirmationSupported, reason] = result;
  if (isSecurePaymentConfirmationSupported) {
    // Display the payment button that invokes SPC.
  } else {
    // Fallback to the legacy authentication method.
  }
});

ลงทะเบียน Authenticator

หากต้องการลงทะเบียนอุปกรณ์สำหรับ SPC ให้ทำตามขั้นตอนการลงทะเบียน WebAuthn โดยทำตามขั้นตอนต่อไปนี้ ข้อกำหนด

ต้องมีโปรแกรม Authenticator สำหรับแพลตฟอร์ม authenticatorSelection.authenticatorAttachment คือplatform
โดยต้องยืนยันผู้ใช้ดังนี้ authenticatorSelection.userVerification คือrequired
ต้องใช้ข้อมูลเข้าสู่ระบบที่ค้นพบได้ (คีย์ที่ใช้ประจำ) ดังนี้ authenticatorSelection.residentKey คือrequired

หมายเหตุ: สำหรับเวอร์ชัน M109, M110 และ M111 ของ Chrome Android ต้องตั้งค่า authenticatorSelection.residentKey เป็น preferred แทนที่จะเป็น required เนื่องจากข้อจำกัดทางเทคนิค ตั้งแต่ Chrome Android M112 เป็นต้นไป จะสามารถใช้ required ได้เช่นเดียวกับแพลตฟอร์มอื่นๆ

นอกจากนี้ ให้ระบุ "การชำระเงิน" ด้วย isPayment: true การระบุ ส่วนขยายนี้ไม่เป็นไปตามข้อกำหนดข้างต้นจะมีข้อยกเว้น

หมายเหตุ: WebAuthn รองรับตัวเลือก attestation ซึ่งช่วยให้ RP ตรวจสอบผู้ผลิตและรุ่นของ Authenticator ที่ลงทะเบียน อย่างไรก็ตาม เนื่องจากขณะนี้การยืนยันการชำระเงินที่ปลอดภัยมีให้บริการใน Chrome เท่านั้น และจำกัดไว้เฉพาะ Authenticator ของแพลตฟอร์มในบางแพลตฟอร์มเท่านั้น การดำเนินการนี้อาจไม่มีประโยชน์และไม่บังคับ

ข้อควรระวังอื่นๆ มีดังนี้

rp.id: ชื่อโฮสต์ของ RP eTLD+1 ของ โดเมนต้องตรงกับโดเมนที่กำลังจดทะเบียน สามารถใช้สำหรับ โดเมนที่ตรงกับ eTLD+1
user.id: นิพจน์ไบนารีของตัวระบุผู้ใช้ ตัวระบุเดียวกัน จะส่งคืนเมื่อการตรวจสอบสิทธิ์สำเร็จ ดังนั้น RP ควรระบุ ตัวระบุผู้ใช้ที่สอดคล้องกันของผู้ถือบัตร
excludeCredentials: อาร์เรย์ของข้อมูลเข้าสู่ระบบเพื่อให้ RP หลีกเลี่ยงได้ การลงทะเบียน Authenticator เดียวกัน

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับขั้นตอนการลงทะเบียน WebAuthn โปรดไปที่ webauthn.guide.

ตัวอย่างรหัสการลงทะเบียน

const options = {
  challenge: new Uint8Array([21...]),
  rp: {
    id: "rp.example",
    name: "Fancy Bank",
  },
  user: {
    id: new Uint8Array([21...]),
    name: "jane.doe@example.com",
    displayName: "Jane Doe",
  },
  excludeCredentials: [{
    id: new Uint8Array([21...]),
    type: 'public-key',
    transports: ['internal'],
  }, ...],
  pubKeyCredParams: [{
    type: "public-key",
    alg: -7 // "ES256"
  }, {
    type: "public-key",
    alg: -257 // "RS256"
  }],
  authenticatorSelection: {
    userVerification: "required",
    residentKey: "required",
    authenticatorAttachment: "platform",
  },
  timeout: 360000,  // 6 minutes

  // Indicate that this is an SPC credential. This is currently required to
  // allow credential creation in an iframe, and so that the browser knows this
  // credential relates to SPC.
  extensions: {
    "payment": {
      isPayment: true,
    }
  }
};

try {
  const credential = await navigator.credentials.create({ publicKey: options });
  // Send new credential info to server for verification and registration.
} catch (e) {
  // No acceptable authenticator or user refused consent. Handle appropriately.
}

หลังจากลงทะเบียนสำเร็จแล้ว RP จะได้รับข้อมูลเข้าสู่ระบบเพื่อส่งไปยังเซิร์ฟเวอร์สำหรับการยืนยัน

ยืนยันการลงทะเบียน

บนเซิร์ฟเวอร์ RP จะต้องตรวจสอบข้อมูลรับรองและเก็บคีย์สาธารณะไว้ ไว้ใช้ในภายหลัง ขั้นตอนการลงทะเบียนฝั่งเซิร์ฟเวอร์จะเหมือนกับการลงทะเบียน WebAuthn ทั่วไป ไม่มี เพิ่มเติมเพื่อให้เป็นไปตามข้อกำหนดของ SPC

การลงทะเบียนจากภายใน iframe

หากผู้ชำระเงินไม่ได้ลงทะเบียนอุปกรณ์กับ RP (ผู้ชำระเงิน) ผู้ชำระเงินสามารถลงทะเบียนบนเว็บไซต์ของผู้ขาย หลังจากการตรวจสอบสิทธิ์สำเร็จ ในระหว่างการซื้อ RP สามารถขอให้ผู้ชำระเงินลงทะเบียนอุปกรณ์ของตน โดยทางอ้อมจากใน iframe

เวิร์กโฟลว์การลงทะเบียนในเว็บไซต์ผู้ขายระหว่างการชำระเงิน

โดยผู้ขายหรือผู้ปกครองจะต้องอนุญาตอย่างชัดแจ้งในการดำเนินการนี้ iframe โดยใช้นโยบายสิทธิ์ ผู้ออกใบรับรองทำตามขั้นตอนเดียวกันในการลงทะเบียน Authenticator ภายใน iframe

ผู้ขายอนุญาตให้มีการลงทะเบียนได้ 2 วิธี ดังนี้

แท็ก iframe ใน HTML ที่แสดงจากโดเมนผู้ขายจะเพิ่มแอตทริบิวต์ allow:
```
<iframe name="iframe" allow="payment https://spc-rp.glitch.me"></iframe>
```
ตรวจสอบว่าแอตทริบิวต์ allow มี payment และต้นทาง RP ที่เรียกใช้การลงทะเบียน WebAuthn
ระบบจะส่งเอกสารเฟรมหลัก (แสดงจากโดเมนผู้ขาย) พร้อมส่วนหัว HTTP ของ Permissions-Policy ดังนี้
```
Permissions-Policy: payment=(self "https://spc-rp.glitch.me")
```

ขั้นตอนถัดไป

เมื่อลงทะเบียนอุปกรณ์กับบุคคลที่พึ่งพาแล้ว ลูกค้าจะสามารถยืนยันการชำระเงินในเว็บไซต์ของผู้ขายโดยใช้การยืนยันการชำระเงินที่ปลอดภัย

ดูวิธีตรวจสอบสิทธิ์ด้วยการยืนยันการชำระเงินที่ปลอดภัย
อ่านภาพรวมของการยืนยันการชำระเงินที่ปลอดภัย