Applepay其实,我们在上一篇文章说过,其实就是一种电子钱包+3DS组合而成,那我们分解这2个过程来剖析Applepay。
谣言:
我们先来扫盲一下,其实国内大部分小伙伴都很熟悉微信支付宝,交易过程大概是这样,调用微信支付宝,然后他们返回给我们成功,这笔交易就完成,类似如下时序图:
其实,applepay不是这种时序图!!
Applepay交易时序图
Note:这种是最原始的applepay交易时序图,可能有很多第三方SDK封装了很多层,会把中间的很多流程给封装一次,让时序看起来不是这个样子。
用文字来表述这个步骤:
- App调用Applepay SDK获取信用卡数据
- IOS系统会获取绑定在手机上的信用卡token数据,并且采用非对称加密(国内使用RSA加密,海外使用ECC加密),用公钥对卡信息进行加密,并且返回给App
- App调用后台api,发起交易请求,附带加密后的信用卡数据
- 后台收到加密后的卡数据后,会用后台保存的私钥对卡数据进行解密,获取到原始的token卡号(有一些收单机构为了简化整个接入过程,允许让商户后台上传密文的数据,但是这样灵活度不高,而且你的RSA加解密证书他们被绑架了,适合于开发能力比较弱的公司接入)
- 发送到银行进行交易(这里的银行指的是支付机构,可能是各种收单机构)
- 返回给App实际的支付结果
整个解密过程,直接参考apple 官网的文档:Applepay解密过程, 我如果后面如果有时间会把这套代码整理分享出来。
所以,从这里可以看得出来,其实,applepay实际没有参与真正的交易过程,它只是一个信用卡加密过程。Googlepay,HuaweiPay……其实都是一样,只是加密方式稍微有点点不一样,就不一一单独介绍了。
下面来剖析为何applepay = 电子钱包+3DS
电子钱包
从上面的过程,我们可以发现,其实applepay就是对信用卡数据的一个加密过程,而这个信用卡数据,就是token数据,属于电子钱包
3DS
这里会有个疑问了,既然商户app可以获取到token,并且交易,那就毫无安全感可言了。因为做app的商户,在解析完卡信息后,直接保存起来,下次交易就不用applepay就完了,或者说商户系统泄露了这个token信息,那不就危险了吗?
解决问题:上面提到过商户后台解析applepay加密数据,解析后的数据包含卡号+3DS加密认证信息(onlinePaymentCryptogram):
这个onlinePaymentCryptogram,每次交易都会产生不同的结果,这个数据是一次性的,用完不能再用。只有银行才能对这个数据进行验证,这也就解决了applepay被盗刷的问题。
每次使用Applepay,会要求用户采用指纹,或者密码,或者人脸 来做用户认证,确保是本人操作,这个过程其实就是3DS的认证过程。
3DS分为2个版本,3DS1.0和3DS2.0。 applepay其实就是3DS2.0的里面叫做3DS SDK的一个组件。至于3DS的细节,我们用单独的篇章来讲解。
Applepay的优势
其实,很久很久之前,就有很多小伙伴会讨论applepay相对于国内码付是一种很low的方式。其实不然。
仔细的小伙伴会发现,其实,applepay整个过程,其实没有碰到钱。这也是applepay最大最大的一个优势,不碰钱,那就不存在被国家封杀的概念,因为只是提供了一种更便捷的信用卡用卡方式而已,并没有动到国家的大蛋糕,该谁赚的钱还是由谁继续赚。经常出海的小伙子估计在全世界都能见到applepay的身影,但是很少能见到Alipay,wechatpay。
而且applepay还兼容了世界上使用了几十年的信用卡体系。改变世界的同时,不需要产生巨大的代价。
当然,微信支付宝也有他们的优势使用简便。
这里我们只讨论applepay的特性和优势,不讨论敏感的谁比谁厉害话题:)