כדי להשתמש באימות תשלום מאובטח (SPC) בעסקה, הלקוח צריך קודם לרשום מאמת. התהליך הזה דומה מאוד לתהליך ההרשמה של WebAuthn, עם תוספת של תוסף תשלום.
במאמר הזה נסביר לבנקים מנפיקים שפועלים כצדדים נסמכים (RP) איך מטמיעים רישום של SPC. הסבר נוסף על חוויית המשתמש זמין בסקירה הכללית על אישור תשלום מאובטח.
איך פועלת ההרשמה ל-Secure Payment Confirmation?
SPC נוצר כתוסף לתקן WebAuthn.
נכון לאפריל 2022, ב-SPC יש תמיכה במאמתי פלטפורמות לאימות משתמשים (UVPA) רק במחשב. כלומר, הלקוח צריך להשתמש במחשב שולחני או במחשב נייד עם מאמת מוטמע, כמו:
- ביטול הנעילה באמצעות Touch ID במכשיר macOS
- Windows Hello במכשיר Windows
רישום המכשיר
הרישום של המכשיר על ידי צד נסמך (RP) צריך להתבצע לפי תהליך אימות משתמש חזק מספיק. ה-RP צריך לוודא שהלקוח נכנס לאתר באמצעות אימות חזק, כדי שלא יהיה קל לחטוף את החשבון. חשוב להיזהר: חוסר אבטחה בתהליך הזה גם מסכן את ה-SPC.
אחרי שה-RP מאמת את הלקוח, הלקוח יכול לרשום מכשיר.
זיהוי תכונות
לפני שמבקשים מהלקוח לרשום את המכשיר, ה-RP צריך לבדוק שהדפדפן תומך ב-SPC.
const isSecurePaymentConfirmationSupported = async () => {
if (!'PaymentRequest' in window) {
return [false, 'Payment Request API is not supported'];
}
try {
// The data below is the minimum required to create the request and
// check if a payment can be made.
const supportedInstruments = [
{
supportedMethods: "secure-payment-confirmation",
data: {
// RP's hostname as its ID
rpId: 'rp.example',
// A dummy credential ID
credentialIds: [new Uint8Array(1)],
// A dummy challenge
challenge: new Uint8Array(1),
instrument: {
// Non-empty display name string
displayName: ' ',
// Transparent-black pixel.
icon: 'data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVR42mNk+P+/HgAFhAJ/wlseKgAAAABJRU5ErkJggg==',
},
// A dummy merchant origin
payeeOrigin: 'https://non-existent.example',
}
}
];
const details = {
// Dummy shopping details
total: {label: 'Total', amount: {currency: 'USD', value: '0'}},
};
const request = new PaymentRequest(supportedInstruments, details);
const canMakePayment = await request.canMakePayment();
return [canMakePayment, canMakePayment ? '' : 'SPC is not available'];
} catch (error) {
console.error(error);
return [false, error.message];
}
};
isSecurePaymentConfirmationSupported().then(result => {
const [isSecurePaymentConfirmationSupported, reason] = result;
if (isSecurePaymentConfirmationSupported) {
// Display the payment button that invokes SPC.
} else {
// Fallback to the legacy authentication method.
}
});
רישום של מאמת חשבונות
כדי לרשום מכשיר ל-SPC, פועלים לפי תהליך הרישום של WebAuthn עם הדרישות הבאות:
- נדרש מאמת הפלטפורמה:
authenticatorSelection.authenticatorAttachmentהואplatform. - נדרש אימות המשתמש:
authenticatorSelection.userVerificationהואrequired. - נדרשים פרטי כניסה שגלויים לכולם (מפתחות פנימיים):
authenticatorSelection.residentKeyהואrequired.
בנוסף, מציינים את התוסף 'תשלום' באמצעות isPayment: true. אם מציינים את התוסף הזה בלי לעמוד בדרישות שלמעלה, תופיע חריגה
נקודות נוספות שכדאי לשים לב אליהן:
rp.id: שם המארח של הגורם המוגבל. החלק eTLD+1 של הדומיין חייב להתאים למקום שבו הוא רשום. אפשר להשתמש בו לאימות בדומיינים שתואמים ל-eTLD+1.user.id: ביטוי בינארי של מזהה המשתמש. אותו מזהה יוחזר לאחר אימות מוצלח, לכן ה-RP צריך לספק מזהה משתמש עקבי של בעל הכרטיס.excludeCredentials: מערך של פרטי כניסה כדי שה-RP יוכל להימנע מרישום של אותו מאמת.
מידע נוסף על תהליך ההרשמה ל-WebAuthn זמין ב-webauthn.guide.
דוגמה לקוד רישום:
const options = {
challenge: new Uint8Array([21...]),
rp: {
id: "rp.example",
name: "Fancy Bank",
},
user: {
id: new Uint8Array([21...]),
name: "jane.doe@example.com",
displayName: "Jane Doe",
},
excludeCredentials: [{
id: new Uint8Array([21...]),
type: 'public-key',
transports: ['internal'],
}, ...],
pubKeyCredParams: [{
type: "public-key",
alg: -7 // "ES256"
}, {
type: "public-key",
alg: -257 // "RS256"
}],
authenticatorSelection: {
userVerification: "required",
residentKey: "required",
authenticatorAttachment: "platform",
},
timeout: 360000, // 6 minutes
// Indicate that this is an SPC credential. This is currently required to
// allow credential creation in an iframe, and so that the browser knows this
// credential relates to SPC.
extensions: {
"payment": {
isPayment: true,
}
}
};
try {
const credential = await navigator.credentials.create({ publicKey: options });
// Send new credential info to server for verification and registration.
} catch (e) {
// No acceptable authenticator or user refused consent. Handle appropriately.
}
אחרי השלמת ההרשמה, ה-RP מקבל פרטי כניסה שצריך לשלוח לשרת לצורך אימות.
אימות הרישום
בשרת, ה-RP צריך לאמת את פרטי הכניסה ולשמור את המפתח הציבורי לשימוש מאוחר יותר. תהליך הרישום בצד השרת זהה לרישום רגיל של WebAuthn. אין צורך לבצע פעולה נוספת כדי לעמוד בדרישות של SPC.
הרשמה מתוך iframe
אם המשלם לא רשם את המכשיר שלו אצל RP (הנפיק התשלומים), הוא יכול להירשם באתר של המוכר. אחרי אימות מוצלח במהלך רכישה, ה-RP יכול לבקש מהמשלם לרשום את המכשיר שלו באופן עקיף, מתוך iframe.
כדי לעשות זאת, המוֹכר או החשבון ההורה צריכים לאפשר את הפעולה הזו באופן מפורש בתוך iframe באמצעות מדיניות ההרשאות. המנפיק פועל לפי אותם השלבים לרישום מאמת בתוך iframe.
יש שתי דרכים שבהן המוכר יכול לאפשר רישום:
תג ה-iframe ב-HTML שמוצג מדומיין המוכר מוסיף מאפיין
allow:<iframe name="iframe" allow="payment https://spc-rp.glitch.me"></iframe>חשוב לוודא שהמאפיין
allowמכיל אתpaymentואת המקור של RP שמפעיל את הרישום ב-WebAuthn.מסמך המסגרת הראשית (שמוצג מהדומיין של המוכר) נשלח עם כותרת HTTP מסוג
Permissions-Policy:Permissions-Policy: payment=(self "https://spc-rp.glitch.me")
השלבים הבאים
אחרי שמכשיר נרשם לצד הנסמך, הלקוח יכול לאשר תשלומים באתר של המוכר באמצעות אישור תשלום מאובטח.
- איך מבצעים אימות באמצעות אישור תשלום מאובטח
- קריאת הסקירה הכללית על אישור תשלום מאובטח