概览
安全付款确认 (SPC) 是一种提议的 Web 标准,允许客户使用平台身份验证器(通常通过设备的屏幕解锁功能,例如指纹传感器激活)向信用卡发卡机构、银行或其他付款服务提供商进行身份验证。这通常发生在付款身份验证协议(例如 EMV 3-D Secure 或 Open Banking)期间。例如,EMV 3-D Secure 在其 v2.3 规范版本中支持 SPC。我们之前曾宣布,SPC 已面向 macOS 和 Windows 上的 Google Chrome 发布,并提供了注册和身份验证方面的开发者指南。
从 M109(目前处于 Beta 版阶段)开始,SPC 也将在 Android 版 Google Chrome 上推出。用户将能够在使用 SPC 的商家网站上使用设备的屏幕锁定功能完成付款验证流程。
如果您有兴趣试用 SPC,欢迎随时在我们的演示网站上试用,或询问您的付款服务提供商是否计划支持 SPC 来对用户付款进行身份验证。
强大的付款身份验证功能
身份验证在防范支付欺诈方面发挥着重要作用。不过,目前的付款身份验证通常使用弱验证方法(例如 CVC 码)或繁琐的验证方法(例如短信 OTP)。这些身份验证方法可能会让用户容易受到欺诈,或者因摩擦而导致购物车放弃。
SPC 基于Web 身份验证 (WebAuthn) 构建,使用内置在用户设备中的平台身份验证器,为付款交易提供强制身份验证。身份验证方(在 WebAuthn 中称为依赖方),例如发卡银行或付款服务提供商,会在其网站上或在传统身份验证交易期间,通过一次性流程注册用户。然后,他们可以在后续付款流程中使用该注册信息来验证用户身份。
只要依赖方相同(例如,相同的发卡银行),用户应该能够使用一次注册,即可在任何集成了 SPC 的商家处通过该依赖方进行未来的所有付款。
API 变更
开发者可以按照为桌面版集成编写的现有实现指南了解该 API 的运作方式。
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
payment 属性表示这是 SPC 凭据。请参阅之前的注册指南,了解如何使用该工具。
目前,此代码会创建可用于 SPC 的不可检测凭据。当 SPC 支持 Android 版 Google Chrome 的可检测凭据后,此代码将自动改为创建可检测凭据。
资源
了解如何实现安全付款确认