概览
安全付款确认 (SPC) 是一种提议的 Web 标准,允许客户使用平台身份验证器(通常通过设备的屏幕解锁功能,例如指纹传感器,进行激活)向信用卡发卡机构、银行或其他付款服务提供商进行身份验证。这通常发生在付款身份验证协议(例如 EMV 3-D Secure 或 Open Banking)期间。例如,EMV 3-D Secure 在其 v2.3 规范版本中支持 SPC。我们之前曾宣布,已针对 macOS 和 Windows 上的 Google Chrome 推出 SPC,并提供了注册和身份验证方面的开发者指南。
从 M109(目前处于 Beta 版阶段)开始,SPC 也将在 Android 版 Google Chrome 上推出。用户将能够在使用 SPC 的商家网站上使用设备的屏幕锁定功能完成付款验证流程。
如果您有兴趣试用 SPC,欢迎随时访问我们的演示网站试用,或询问您的付款服务提供商是否计划支持 SPC 来对用户付款进行身份验证。
强大的付款身份验证功能
身份验证在防范付款欺诈方面发挥着重要作用。但是,当今的付款身份验证通常采用安全系数低(例如银行卡验证码 (CVC) 代码)或顺畅(例如短信动态密码 (OTP))的验证方法。这些身份验证方法可能会让用户容易受到欺诈,或者因摩擦而导致购物车放弃。
SPC 以网络身份验证 (WebAuthn) 为基础构建,使用用户设备内置的平台身份验证器为付款交易提供强有力的身份验证机制。身份验证方(在 WebAuthn 中称为依赖方)(例如发卡银行或付款服务提供商)会在其网站上或通过传统身份验证的交易在一次性流程中为用户注册。然后,他们可以在后续付款流程中使用该注册信息来验证用户身份。
只要依赖方相同(例如,相同的发卡银行),用户应该能够使用一次注册,即可在任何集成了 SPC 的商家处通过该依赖方进行未来的所有付款。
API 变更
开发者可以按照为桌面版集成编写的现有实现指南了解该 API 的运作方式。
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
payment 属性表示这是 SPC 凭据。请参阅之前的注册指南,了解如何使用该工具。
目前,此代码会创建适用于 SPC 且不可发现的凭据。当 SPC 支持 Android 版 Google Chrome 的可检测凭据后,此代码将自动改为创建可检测凭据。
资源
了解如何实现安全付款确认