總覽
安全付款確認 (SPC) 是建議的網路標準,可讓客戶使用平台驗證工具 (通常透過裝置的螢幕解鎖功能啟用,例如指紋感應器),向發卡機構、銀行或其他付款服務供應商進行驗證。這通常會發生在付款驗證通訊協定期間,例如 EMV 3-D Secure 或 Open Banking。舉例來說,EMV 3-D Secure 的 2.3 版規格版本支援 SPC。我們先前宣布,已為 macOS 和 Windows 上的 Google Chrome 推出 SPC,並提供註冊和驗證的開發人員指南。
自 M109 起 (目前在 Beta 版中),Android 版 Google Chrome 也將支援 SPC。使用者可在使用 SPC 的商家網站上,透過裝置的螢幕鎖定功能完成付款驗證程序。
如果您想嘗試使用 SPC,歡迎前往我們的示範網站試用,或詢問付款服務供應商是否打算支援這項功能,以便驗證使用者的付款。
付款高強度驗證
驗證在防範付款詐欺方面扮演重要角色。不過,現今的付款驗證方式通常採用強度不足 (例如信用卡驗證碼) 或驗證阻礙 (例如簡訊動態密碼)。這些驗證方法可能會讓使用者容易遭受詐欺,或是因摩擦而放棄購物車。
SPC 建構在 Web 驗證 (WebAuthn) 之上,使用內建於使用者裝置的平台驗證器,為付款交易提供嚴格驗證。驗證方 (在 WebAuthn 中稱為依賴方),例如發卡銀行或付款服務供應商,會在一次性程序中註冊使用者,無論是在其網站上或在傳統驗證交易期間皆然。之後,他們可以使用註冊資訊,在後續付款流程中驗證使用者。
只要依賴方相同 (例如相同的發卡銀行),使用者應該就能透過單一註冊程序,在任何整合 SPC 的商家中,透過該依賴方進行所有日後付款。
API 變更
開發人員可以按照現有的實作指南 (針對電腦整合所撰寫) 瞭解 API 的運作方式。
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
payment 屬性表示這是 SPC 憑證。請參閱先前的註冊指南,瞭解如何使用這項功能。
目前,這段程式碼會建立無法偵測的憑證,適用於 SPC。一旦 Android 版 Google Chrome 的 SPC 支援可探索憑證,這段程式碼就會自動切換為建立可探索憑證。
資源
瞭解如何導入安全付款確認機制