सुरक्षित पेमेंट की पुष्टि करें

Eiji Kitamura

किसी लेन-देन में सुरक्षित पेमेंट की पुष्टि (SPC) का इस्तेमाल करने के लिए, ग्राहक को पहले पुष्टि करने वाला एक रजिस्टर करना होगा. यह प्रोसेस, WebAuthn रजिस्ट्रेशन की प्रोसेस से काफ़ी मिलती-जुलती है. इसके लिए, इसमें पेमेंट एक्सटेंशन जोड़ना पड़ता है.

इस लेख में, भरोसेमंद पक्षों (आरपी) के तौर पर काम करने वाले बैंक, एसपीसी रजिस्ट्रेशन को लागू करने का तरीका जान सकते हैं. उपयोगकर्ता अनुभव के बारे में ज़्यादा जानकारी, पेमेंट के सुरक्षित तरीके की पुष्टि की खास जानकारी में दी गई है.

सुरक्षित पेमेंट की पुष्टि करने वाला रजिस्ट्रेशन कैसे काम करता है?

SPC को WebAuthn स्टैंडर्ड के एक्सटेंशन के तौर पर बनाया गया है.

अप्रैल 2022 से, SPC सिर्फ़ डेस्कटॉप पर उपयोगकर्ता की पुष्टि करने वाले प्लैटफ़ॉर्म (यूवीपीए) के साथ काम करता है. इसका मतलब है कि ग्राहक को ऐसे डेस्कटॉप या लैपटॉप का इस्तेमाल करना होगा जिस पर पुष्टि करने वाला कोई एम्बेड किया गया हो, जैसे कि:

  • किसी macOS डिवाइस पर, Touch ID जैसी सुविधाओं को अनलॉक किया जा सकता है
  • Windows डिवाइस पर Windows Hello

डिवाइस को रजिस्टर करें

डिवाइस के लिए, भरोसेमंद पक्ष (आरपी) का रजिस्ट्रेशन, उपयोगकर्ता की पुष्टि की एक मज़बूत प्रोसेस का पालन करना चाहिए. आरपी को यह पक्का करना होगा कि ग्राहक ने पुष्टि करने की बेहतर सुविधा का इस्तेमाल करके, वेबसाइट में साइन इन किया है, ताकि खाते को आसानी से हाइजैक न किया जाए. सावधान रहें: इस प्रक्रिया में सुरक्षा की कमी से SPC को भी खतरा हो सकता है.

आरपी की पुष्टि होने के बाद, ग्राहक अब डिवाइस रजिस्टर कर सकता है.

भरोसा करने वाले पक्ष की वेबसाइट पर सामान्य रजिस्ट्रेशन वर्कफ़्लो

सुविधा की पहचान करने की सुविधा

ग्राहक से डिवाइस रजिस्टर करने के लिए कहने से पहले, आरपी को यह जांच करनी होगी कि ब्राउज़र, SPC के साथ काम करता है या नहीं.

const isSecurePaymentConfirmationSupported = async () => {
  if (!'PaymentRequest' in window) {
    return [false, 'Payment Request API is not supported'];
  }

  try {
    // The data below is the minimum required to create the request and
    // check if a payment can be made.
    const supportedInstruments = [
      {
        supportedMethods: "secure-payment-confirmation",
        data: {
          // RP's hostname as its ID
          rpId: 'rp.example',
          // A dummy credential ID
          credentialIds: [new Uint8Array(1)],
          // A dummy challenge
          challenge: new Uint8Array(1),
          instrument: {
            // Non-empty display name string
            displayName: ' ',
            // Transparent-black pixel.
            icon: 'data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVR42mNk+P+/HgAFhAJ/wlseKgAAAABJRU5ErkJggg==',
          },
          // A dummy merchant origin
          payeeOrigin: 'https://non-existent.example',
        }
      }
    ];

    const details = {
      // Dummy shopping details
      total: {label: 'Total', amount: {currency: 'USD', value: '0'}},
    };

    const request = new PaymentRequest(supportedInstruments, details);
    const canMakePayment = await request.canMakePayment();
    return [canMakePayment, canMakePayment ? '' : 'SPC is not available'];
  } catch (error) {
    console.error(error);
    return [false, error.message];
  }
};

isSecurePaymentConfirmationSupported().then(result => {
  const [isSecurePaymentConfirmationSupported, reason] = result;
  if (isSecurePaymentConfirmationSupported) {
    // Display the payment button that invokes SPC.
  } else {
    // Fallback to the legacy authentication method.
  }
});

Authenticator को रजिस्टर करना

SPC के लिए किसी डिवाइस को रजिस्टर करने के लिए, WebAuthn रजिस्ट्रेशन प्रोसेस का पालन करें और इन ज़रूरी शर्तों को पूरा करें:

  • प्लैटफ़ॉर्म पुष्टि करने की सुविधा देना ज़रूरी है: authenticatorSelection.authenticatorAttachment platform है.
  • उपयोगकर्ता की पुष्टि ज़रूरी है: authenticatorSelection.userVerification required है.
  • खोजे जाने लायक क्रेडेंशियल (निवासी कुंजियां) ज़रूरी हैं: authenticatorSelection.residentKey required है.

इसके अलावा, isPayment: true के साथ एक "payment" एक्सटेंशन तय करें. ऊपर बताई गई ज़रूरी शर्तों को पूरा किए बिना इस एक्सटेंशन को तय करने पर, आपको एक अपवाद दिखेगा.

कुछ अन्य चेतावनियां:

  • rp.id: प्रतिबंधित पार्टी का होस्टनेम. डोमेन के eTLD+1 का हिस्सा, उस जगह से मेल खाना चाहिए जहां उसे रजिस्टर किया जा रहा है. इसका इस्तेमाल eTLD+1 से मेल खाने वाले डोमेन की पुष्टि करने के लिए किया जा सकता है.
  • user.id: उपयोगकर्ता आइडेंटिफ़ायर का बाइनरी एक्सप्रेशन. पुष्टि करने के बाद भी वही आइडेंटिफ़ायर दिखेगा, ताकि आरपी को कार्ड होल्डर का एक जैसा उपयोगकर्ता आइडेंटिफ़ायर देना चाहिए.
  • excludeCredentials: क्रेडेंशियल का कलेक्शन, ताकि आरपी को एक ही Authenticator को रजिस्टर करने से रोका जा सके.

WebAuthn रजिस्ट्रेशन की प्रक्रिया के बारे में ज़्यादा जानने के लिए, webauthn.guide देखें.

रजिस्ट्रेशन कोड का उदाहरण:

const options = {
  challenge: new Uint8Array([21...]),
  rp: {
    id: "rp.example",
    name: "Fancy Bank",
  },
  user: {
    id: new Uint8Array([21...]),
    name: "jane.doe@example.com",
    displayName: "Jane Doe",
  },
  excludeCredentials: [{
    id: new Uint8Array([21...]),
    type: 'public-key',
    transports: ['internal'],
  }, ...],
  pubKeyCredParams: [{
    type: "public-key",
    alg: -7 // "ES256"
  }, {
    type: "public-key",
    alg: -257 // "RS256"
  }],
  authenticatorSelection: {
    userVerification: "required",
    residentKey: "required",
    authenticatorAttachment: "platform",
  },
  timeout: 360000,  // 6 minutes

  // Indicate that this is an SPC credential. This is currently required to
  // allow credential creation in an iframe, and so that the browser knows this
  // credential relates to SPC.
  extensions: {
    "payment": {
      isPayment: true,
    }
  }
};

try {
  const credential = await navigator.credentials.create({ publicKey: options });
  // Send new credential info to server for verification and registration.
} catch (e) {
  // No acceptable authenticator or user refused consent. Handle appropriately.
}

रजिस्ट्रेशन हो जाने के बाद, आरपी को एक क्रेडेंशियल मिलता है. इसे पुष्टि के लिए सर्वर पर भेजा जाता है.

रजिस्ट्रेशन की पुष्टि करें

सर्वर पर, आरपी को क्रेडेंशियल की पुष्टि करनी होगी और बाद में इस्तेमाल के लिए सार्वजनिक कुंजी अपने पास रखनी होगी. सर्वर-साइड रजिस्ट्रेशन की प्रोसेस, सामान्य WebAuthn रजिस्ट्रेशन जैसी ही है. एसपीसी का पालन करने के लिए, किसी भी अतिरिक्त शर्त की ज़रूरत नहीं होती.

Iframe के अंदर से रजिस्ट्रेशन करना

अगर पैसे चुकाने वाले ने अपने डिवाइस को आरपी (पेमेंट जारी करने वाले) के साथ रजिस्टर नहीं किया है, तो पेमेंट करने वाला व्यक्ति, व्यापारी/कंपनी की वेबसाइट पर रजिस्टर कर सकता है. खरीदारी के दौरान पुष्टि करने के बाद, आरपी, पेमेंट करने वाले से सीधे iframe के ज़रिए, अपने डिवाइस को रजिस्टर करने का अनुरोध कर सकता है.

पेमेंट के दौरान, कारोबारी या कंपनी की वेबसाइट पर रजिस्ट्रेशन का वर्कफ़्लो.

ऐसा करने के लिए, व्यापारी/कंपनी या अभिभावक को अनुमति से जुड़ी नीति का इस्तेमाल करके, iframe में इस कार्रवाई की अनुमति साफ़ तौर पर देनी होगी. जारी करने वाले को iframe में Authenticator को रजिस्टर करने के लिए वही तरीका अपनाना होता है.

रजिस्ट्रेशन की अनुमति देने के लिए, व्यापारी/कंपनी/कारोबारी के पास दो तरीके हैं:

  1. व्यापारी या कंपनी के डोमेन से दिखाए गए एचटीएमएल में मौजूद iframe टैग, एक allow एट्रिब्यूट जोड़ता है:

    <iframe name="iframe" allow="payment https://spc-rp.glitch.me"></iframe>

    पक्का करें कि allow एट्रिब्यूट में payment और वह आरपी ऑरिजिन शामिल हो जो WebAuthn रजिस्ट्रेशन को शुरू करता है.

  2. पैरंट फ़्रेम का दस्तावेज़ (कारोबारी के डोमेन से मिला) Permissions-Policy एचटीटीपी हेडर के साथ भेजा जाता है:

    Permissions-Policy: payment=(self "https://spc-rp.glitch.me")

अगले चरण

भरोसेमंद पक्ष के साथ डिवाइस रजिस्टर हो जाने के बाद, ग्राहक सुरक्षित पेमेंट की पुष्टि का इस्तेमाल करके, व्यापारी/कंपनी की वेबसाइट पर पेमेंट की पुष्टि कर सकता है.