2. 程式人生 > >支付寶離線支付演算法猜想

支付寶離線支付演算法猜想

阿新 發佈:2019-02-20

猜想原理

以支付寶為例,只要之前有一次用這個支付寶錢包賬號買過東西,自動售貨機就可以記住,並進行識別(猜測是用了一個標誌碼來唯一識別)。

設計猜想一

  1. 使用者在支付寶上繫結自己的銀行帳號及個人資訊;
  2. 使用者帳戶資訊在繫結時已上傳到支付寶後端伺服器;
  3.  客戶端離線本身沒關係,客戶端只是生成使用者的帳戶資訊,轉化成一個可掃描的二維碼/條形碼;
  4. 商戶端獲取使用者帳戶資訊向支付寶後端伺服器發起請求,支付寶通過請求的解析和認證,認證後通過付款申請,後臺伺服器響應:付款成功;
  5. 使用者付款成功。

設計猜想二

使用者用支付寶會員名、手機號、郵箱對應的支付寶數字賬號申請支付寶離線支付服務

  • 使用者使用手機將上述資訊發給支付寶的專用伺服器(Token Requestor);
  • 支付寶的專用伺服器將支付寶賬戶資訊傳送給令牌服務提供商(Token Service Provider、Token SP),就是支付寶自己的令牌服務系統;
  • Token SP將賬戶資訊和針對這個賬戶預生成的虛擬卡號(Payment Token、token)發給支付寶賬戶中心驗證;
  • 支付寶賬戶中心通過驗證,向Token SP授權,並在資料庫中建立支付寶數字賬號和token的唯一對應關係,並將這個支付寶數字賬號和token做出賬務關聯;
  • Token SP獲得授權,將token回送給支付寶的專用伺服器;
  • 支付寶的專用伺服器先將裝置(AppleWatch和iPhone)唯一標識和Token進行繫結,然後將token回送至iPhone和Apple Watch的Secure Element進行硬體加密保護。

通俗來講,這個過程就是:

  • 使用者在手機支付寶把支付寶會員名abc_123、手機號18610101010、郵箱[email protected]對應的支付寶數字賬號12345678發給支付寶的專用伺服器。
  • 支付寶的專用伺服器把這四個資訊傳送給支付寶的Token SP。
  • Token SP啟動一種演算法,針對生成了一個虛擬卡號87654321,並把(abc_123、18610101010、[email protected]1234567887654321)傳送給支付寶賬戶中心。
  • 支付寶賬戶中心一看,會員名、手機號、郵箱、數字賬號正確,便在自己的系統裡偷偷地將賬戶1234567887654321虛擬卡關聯了起來,並告訴Token SP:“來信收到,內容無誤,你的請求已經得到了批准。
  •  Token SP收到回信後,將87654321回送給支付寶專用伺服器。
  • 支付寶專用伺服器將87654321儲存在iPhone和Apple Watch的Secure Element裡面。

使用者使用支付寶離線支付在商戶進行交易

  • AppleWatch將Token和交易有效起始時間、有效終止時間通過加密演算法生成二維碼傳送給POS;
  • POS將二維碼和其他交易資訊傳送給支付寶交易中心;
  • 支付寶交易中心將二維碼和其他交易資訊傳送給支付寶交易轉接伺服器;
  • 支付寶交易轉接伺服器通過演算法解密並將Token和交易有效起始時間、有效終止時間發給Token SP;
  • Token SP通過Token對應出12345678,將12345679回送至支付寶交易轉接伺服器;
  • 支付寶交易轉接伺服器將Token、12345678和其他交易資訊發給支付寶賬戶;
  • 支付寶賬戶進行交易授權,並將12345678和授權資訊回送至支付寶交易轉接伺服器;
  • 支付寶交易轉接伺服器將Token和授權資訊回送至支付寶交易中心;
  • 支付寶交易中心將Token和授權資訊回送至POS;
  •  POS提示交易成功,打單。

從上述過程來看,商戶、支付寶交易中心和交易轉接伺服器之間採用Token來標識卡片,採用有效時間來控制有效時常,而12345678在且僅在交易轉接伺服器、Token SP和支付寶交易中心之間進行傳送。

風險控制

如果手機丟失時:

  • 使用者會登陸支付寶網站,登陸並停用使用者手機上的支付寶離線支付服務;
  • 支付寶的專屬伺服器會立即向Token SP發出請求,按照自己儲存的該裝置對應的Token列表逐一申請吊銷這些Token;
  • 撿到手機的人嘗試支付(假設TA神通廣大,偽造出了使用者的指紋並通過了Touch ID的驗證);
  • 在交易進行到“Token SP通過Token對應出12345678”這一步時,因為Token已被吊銷,所以交易無法繼續;
  • 使用者找回或者購買了新裝置,重複申請支付寶離線支付的流程,獲取全新的Token。

如果在用的Token出現交易風險時:

  • 支付寶交易中心會對該Token取消授權,並通告Token SP;
  • Token SP會向支付寶專屬伺服器回送Token失效的資訊;
  • 支付寶專屬伺服器向iPhone和AppleWatch發出指令,將這張卡片標記為不可用。
  •  使用者重複申請支付寶離線支付的流程。

橫向比較傳統支付和支付寶離線支付,實際上後者比前者多了兩個參與方,就是令牌申請方Token Requestor和令牌服務提供商Token SP,這兩方的存在保障了使用者賬戶的安全,降低了數字賬戶洩露的概率。

設計猜想三

一開始就生成了很多張二維碼儲存在本地,沒網也會有二維碼(通過實際嘗試重新整理了很多張二維碼,發現基本沒有一張是相同的,所以這個猜想基本是排除的)。

相關推薦

支付離線支付演算法猜想

猜想原理 以支付寶為例,只要之前有一次用這個支付寶錢包賬號買過東西,自動售貨機就可以記住,並進行識別(猜測是用了一個標誌碼來唯一識別)。 設計猜想一 使用者在支付寶上繫結自己的銀行帳號及個人資訊; 使用者帳戶資訊在繫結時已上傳到支付寶後端伺服器;  客戶端離線本身沒

支付離線也能支付收款原理,流程

支付寶離線支付隨著移動支付的盛行,我們的衣食住行,基本上都離不開手機網絡,可是如果你的手機因為停機或信號不好等原因,無法聯網,但又沒有帶現金該怎麽辦呢? 今天就和大家解析一下,支付寶的離線支付功能。在沒有網絡時,借助離線支付技術,你依然可以通過手機進行支付。 原理1.離線支付的關

除錯支付離線認證介面遇到的問題總結

通過 android的JNI呼叫支付寶離線認證庫本地介面時,我欲返回一個類的例項,但是卻報了幾個錯,最後查出來了原因。在此總結下。  錯誤一 :E/dalvikvm﹕JNI ERROR (app bug): accessed stale local reference ,j

H5網站接入支付支付接口

signature sorted response keys 手機 商品 parse detail erp 寫本文章的目的是為了記錄工作中遇到的問題,方便以後遇到可以迅速解決問題 H5手機網站接入支付寶的支付接口,推薦使用支付寶提供的SDK來快速開發 我使用的是SDK開發

支付國際支付 對接

pre dsm 查找 支持 發現 找到 space 是的 服務端 近期海關要求跨境電商須要對接國際支付。而在網上查找資料時並沒有找到完整的文檔介紹。等對接玩微信國際支付。銀聯在線國際支付後再統一寫下。 找支付寶客服或技術人員,僅僅會給你發一個文檔。然而細致對照發現。

支付 app支付 沙盤使用

gin 所有 必須 com watermark pda 權限 enter htm 文檔說明 沙箱測試: App支付沙箱接入註意點 1、app支付支持沙箱接入;在沙箱調通接口後,必須在線上進行測試與驗收,所有返回碼及業務邏輯以線上為準;2、app支付只支持余額支付,

Android 支付快捷支付集成及ALI64錯誤的有效解決

pop asc i++ code orm manifest 圖片 快捷 ipa 支付寶開放平臺採用了RSA安全簽名機制,開發人員能夠通過支付寶公鑰驗證消息來源。同一時候可使用自己的私鑰對信息進行加密。RSA算法及數字簽名機制是支付寶開放平臺與開發人員網關

第2次作業:支付快捷支付模塊分析

兩種 結合 蘋果 什麽 png com 金錢 避免 標準 有關支付寶快捷支付的分析 1.介紹產品相關信息   1.1我選擇的產品是支付寶[1]。   1.2選擇支付寶作為產品來分析主要有以下三個原因:     1.2.1 相對於其他的產品,支付寶在我生活中使用的頻率會相對

支付app支付java後臺流程及原理分析

system 分析 req eterm 格式 prop 通過 false 由於 java版支付寶app支付流程及原理分析   本實例是基於springmvc框架編寫 一、流程步驟 1.執行流程 當手機端app(就是你公司開發的a

支付APP支付裏設置應用網關和授權回調地址是不必填的

read 1-1 mage tid app blog cnblogs opencl ref 支付寶APP支付裏設置應用網關和授權回調地址位置為: 支付寶app支付應用網關和授權回調地址為非必填,詳細解釋鏈接:https://openclub.alipay.com/read.

android 集成支付app支付(原生態)-包括android前端與java後臺

請求 call 修改 quest ali log gif 操作 asm 本文講解了 android開發的原生態app集成了支付寶支付, 還提供了java後臺服務器處理支付寶支付的加密代碼, app前端與java後臺服務器使用json數據格式交互信息,java後臺服務主要用來

H5集成支付App支付客戶端+服務端(java)

XML 服務端 onf response 成功 code default format sim 由於最近項目需要接入第三方開發,支付寶支付,微信支付,OSS圖片上傳以及短信服務。為避免第一次開發支付寶再次花時間查看文檔,今天總結一下接入支付寶的過程,以及接入過程中遇到的問題

支付 APP支付 錯誤碼

需要 app 返回 ron str 一個 行處理 appid 分號 出現_38173_這個錯誤碼的原因是服務器返回給前端的字符串中 有一個map; 三個字母一個分號 需要在前端用戶字符串處理函數進行處理後 在進行後續操作 出現_10146_這個錯誤嗎的原因 1.你的APPI

通過集成掃碼支付系統一鍵接入微信、支付錢包支付視頻教程

nag .html proc 自動識別 安裝 ffffff 51cto sha 微信支付 管理軟件如何對接掃碼支付平臺並能夠自動識別微信支付和支付寶支付,通過對該課程的學習,可以讓商戶老板和軟件安裝人員能夠熟悉操作流程和設置方法,以達到管理軟件能夠自動識別微信支付和支付寶支

支付APP支付整合+.net(沙箱除錯)

1.服務端整合程式碼 private const string APPID = "發起請求的應用ID"; private const string APP_PRIVATE_KEY = "私鑰"; private const string ALIPAY

小米note2 支付指紋支付 -10008

在設定中不能更新證書。 設定-----我的裝置-----MIUI版本-----點選單鍵(右上角的三個點)-----下載最新版本完整包(建議WiFi下操作 )-----立即更新。您可嘗試下的 ,都是對系統有優化的 ,相信您可排除您的產品問題的 。更新前備份您的資料,以免資料丟失。 這樣操作

支付H5支付

一、應用開發前準備工作 1、去螞蟻金服開放平臺 https://open.alipay.com/platform/manageHome.htm,登入。 2、開發者中心-->網站&移動應用 點選 3、點選支付接入 4、建立應用,輸入名稱(注意:名稱中不要含有支付寶,阿里巴

支付APP支付——支付流程說明及示例

轉自:https://blog.csdn.net/flygoa/article/details/54891473   支付寶APP支付——支付流程說明及示例 官方示例圖 螞蟻金服開放平臺文件:地址 官方流程圖:地址 如圖,以Android平臺為例: 第4步:呼叫支付介

Java Web整合支付沙箱支付

前言 支付寶推出一個沙箱環境,能夠很好的模擬支付寶支付,並且還提供了demo,但demo是一個普通web專案,怎麼整合到Java Web專案呢,其實很簡單 簡單配置請參照支付寶沙箱支付開發文件 一、支付部分 AlipayConfig配置:博主使用的是頁面跳轉同步通知,返回路徑return

支付H5支付demo

支付寶H5支付 首先我們必須註冊一個支付寶應用(本案例就直接用支付寶的沙箱環境,這個沙箱也就是支付寶提供給開發者的一個測試環境) 登入地址:https://open.alipay.com/platform/home.htm   1、怎麼註冊一個支付寶應用?看圖(至於應用裡面需要的資料你就跟著