首页 > 科技未来 > 内容

支付系统设计：卡绑定、签名与身份验证（四）

发布于：2024-06-17 编辑：匿名来源：网络

在之前的文章《支付系统之银行卡支付》中，我挖了一个关于卡绑定的坑。

用户使用银行卡支付之前，首先需要完成卡绑定操作。

如何绑定卡以及如何验证用户绑定的是自己的卡而不是隔壁老王的卡，是本问题的焦点。

为什么用户需要绑定卡？这与快捷支付有关。

参考上一篇文章的分析。

绑定卡就是将用户的卡信息提供给电商公司。

未来，电商公司将利用这些信息去银行完成支付。

绑定卡实际上是一种授权，允许用户允许商户自动从其账户中扣除资金。

因此，卡绑定也称为合同，是用户、银行、商户之间签订的支付合同。

但我们知道，绑定卡对于用户和商户来说都存在巨大的风险。

如果说用户绑定卡是为了省事，那商家为什么要这么做呢？首先当然是提升用户体验，让用户花钱更方便。

其次，提高支付成功率。

网银支付成功率在20%左右，银联直连成功率一般在50%左右，银行卡直连成功率可提高到70%左右。

这是相当令人印象深刻的数据。

所以，当看到绑卡领取洗衣液的做法时，不用担心商家会不会赔钱。

如何绑定卡？我们知道与银行的连接有两种方式，直接与银行接口连接和通过银联间接连接。

这两种情况下卡绑定的处理也不同。

卡绑定场景直观。

电商网站会在用户后台提供绑定卡的入口，让用户直接绑定卡。

以支付宝卡绑定流程为例，我们可以体验一下：这里有以下几点：只能绑定自己的卡，这主要是从安全角度考虑。

短信验证需要用户在银行侧预留的手机号码。

但并非所有银行都需要它。

这时，为了统一处理，可以考虑自己发送验证短信。

不要对这个入口抱太大期望。

越来越多的用户将他们的卡与付款绑定在一起。

也就是说，提交订单后，我发现自己没有银行卡，于是我开始绑定卡。

与纯粹的卡绑定流程不同，最后一步，卡绑定成功后，通常会同时完成支付。

有些渠道会提供绑定卡和支付的接口，减少交互次数。

绑定卡流程先介绍一下比较简单的银联直接绑定卡。

为了保证卡的安全，绑定卡有以下前提条件：用户必须绑定手机号码。

该手机号码用于修改支付密码；用户需要设置支付密码。

支付密码与登录密码不同。

根据用户的不同状态，绑定卡片的流程也有所不同。

当然，卡绑定是一项安全操作，需要用户登录系统。

为了避免与被劫持的服务器交互，所有操作都必须通过安全链接执行，即使用https。

当用户开始绑定卡时，会执行以下流程：检查用户是否有手机号码。

如果没有，请继续设置手机号码的过程。

检查用户是否设置了支付密码。

如果设置，则要求用户输入密码。

支付系统设计：卡绑定、签名与身份验证（四）

确认无误后，开始绑定卡。

否则最好先绑定卡再设置密码。

用户输入卡号，系统根据卡号确定该卡的发卡银行并显示给用户。

一些实现，例如微信支付，将提供卡扫描和代码识别功能。

用户输入银行预留的手机号码。

对于未绑定卡的用户，需要提供真实姓名和身份证号码。

对于信用卡，您还需要输入 CV 代码和到期日期。

在此步骤中，收集所有卡信息。

调用银行卡绑定验证接口进行银行卡绑定。

这里有一个四因素认证的概念。

由于国家要求实名制，所有银行卡都必须实名处理，这样银行就可以验证姓名、身份证号、银行卡号和手机号是否一致。

如果没有问题，就会向手机发送一条短信。

用户输入短信验证码并确认卡绑定。

服务器将用户的实名信息和短信验证码组合成消息并发送给银行执行签名操作。

银行方签约成功后，将合同号返回给商户。

卡槽中存在问题。

如何根据卡号确定发卡银行？这需要一个卡片箱。

BIN号是银行识别码的英文缩写。

BIN由6位数字表示，出现在卡号的前6位。

由国际标准化组织（ISO）分配给各从事银行间转账交换的银行卡组织。

银行卡卡号是识别发卡机构和持卡人信息的号码。

它由以下三部分组成：发卡机构识别码（BIN号）、发卡机构自定义数字、验证码。

目前，国内银行卡按照开头号码归属于不同的银行卡组织。

其中，BIN号“4”开头的银行卡属于VISA卡组织，以数字“5”开头的银行卡属于MASTERCARD卡组织，BIN号“4”开头的属于MASTERCARD卡组织组织。

“9”开头的字符以及“62”、“60”开头的字符属于中国银联。

“62”、“60”开头的银联卡是符合国际标准、可在境外使用的银联标准卡。

中国银联近年来的情况也是如此。

近年来主要发行银行卡。

大多数银行卡号的前6位可以确定发卡银行和卡类型，但也有非标准卡需要6-10位数字。

需要维护卡片仓库。

附件是一个比较完整的csv格式的卡仓库。

短信及身份验证一般情况下，绑定卡操作的第五步需要银行发出短信验证码。

各银行的短信验证接口有所不同。

有的银行同时进行短信验证和身份验证；部分银行可以配置是否同时发送短信进行身份验证。

还有一些比较奇怪的机构，比如某个链接，在界面里要求你传入你的身份信息，但其实你不传入也可以，而且他们也不验证身份信息是否正确。

是正确的。

连接通道时需要特别注意这一点。

此类界面一般包含以下内容：版本号：当前界面的版本号；编码方式：默认为UTF-8，指传输内容的编码方式；签名及签名方法：为消息生成签名。

并非所有字段都需要放入签名中。

该文件将解释哪些字段需要签名；签名算法：生成签名的算法，RSA、RSA、MD5等。

商户代码：在渠道侧注册的商户编号。

商户订单号：发送到渠道的订单号；发送时间：发送请求的时间。

账号及账户类型：银行卡、存折、IC卡等支持的账户类型及对应账号；卡的加密信息：如信用卡的CVN2、有效期等。

开户银行信息：开户银行所在地、名称；其中大部分是不需要的。

身份证件类型及身份证号码：可实名认证的证件有身份证、军官证、护照、回乡证、台胞证、警察证、军人证等，不同银行支持不同类型的文档，这不是问题。

其中大部分是身份证。

姓名：真实姓名，须与身份证一致；手机号码：您在银行注册的手机号码。

系统将返回上述数据的验证结果。

如果验证成功，将发送一条短信。

但并非所有渠道都是如此。

验证会涉及哪些字段以及是否需要发送短信？需要注意接口文档。

卡绑定接口卡绑定接口与短信发送接口类似。

它还需要传递用户的卡号、身份证等信息。

绑定卡成功后，会返回一个合同号。

后续调用支付、解约等接口都需要这个合约号。

这里有一个问题。

如果已经绑定过卡的用户调用卡绑定合约接口再次绑定卡，会发生什么情况？这与银行的执行情况有关。

大多数银行，如农业银行、浦发银行、建设银行等，在调用卡绑定合同签约接口时，都会首先验证身份信息。

如果验证失败，则不会进行后续操作。

验证通过后，查看该卡是否已与商户绑定。

如果没有，请绑定该卡。

否则会提示卡已绑定，无法重复签约。

但工行的实施却有所不同。

首先验证卡是否已绑定。

如果卡已经绑定，则不会继续验证身份信息。

总之，银行不支持重复绑定卡。

银联卡绑定银联直卡绑定与银行卡绑定类似，但一定要注意验证接口，仅验证卡号和姓名，不验证身份证号和手机号。

这会导致步骤 5 无法正常工作。

银联仅在第六步绑定卡时进行身份验证。

因此，在处理上需要进行一些调整，以确保与银行流程的一致性。

一种处理方法是在第五步开始调用银联接口进行卡绑定操作，但在本地标记为预绑定卡状态；商户发送短信验证码，验证通过后才将状态设置为绑定。

办卡成功。

银联银行联卡办理起来比较麻烦。

用户在电商页面输入卡号，然后导航至银联页面，完成卡绑定操作。

成功后，银联返回一个token作为合约号，支持后续操作。

问题来了。

用户可以在银联页面绑定别人的卡，但电商方无法获知这张卡的状态。

所以尽量不要使用这种方法。

实名认证卡绑定操作的一个很好的副产品就是实名认证。

通过该操作可以完成通常所说的二因素、三因素、四因素认证。

两个元素是姓名和身份证号，三个元素是加银行卡号，四个元素是加手机号。

看起来所有银行都应该支持四因素验证，但大多数银行接口只支持三因素。

毕竟手机号码还是很容易改的。

当然，实名认证，也称为二元认证，是最常用的认证方式。

国内唯一的图书馆在公安部，NCICIC负责提供对外接口。

可提供以下功能：简单物品验证：返回“一致”、“不一致”、“库中无此号码” 照片回溯验证：返回“一致+纹理照片”“不一致”“库中无此号码” 肖像验证：返回“同一人”、“不同人”、“数据库中无此号码”的官方接口费用为5元/条。

市面上主要的第三方服务商有国证通（简单项、退款卡）、诺政通（简单物品）、IDface（三接口）等。

简单物品验证费用为0.5~2.0元，退款验证费用为0.8~2.1元，肖像验证费用为2.0~8.0元。

，与访问次数有关，数量越大越好，当然这里还要注意的是，保密人员无法找到相关信息，从性能上来说，XXTong一般都能在ms内返回结果，所以。

普通商业用途应该没有问题。

一些公司还会提供额外的四因素接口。

以XXTong为例，该公司号称支持大部分银行卡的四因素认证。

然而，实现有点混乱。

它实际上是实时请求银行的接口，导致接口延迟非常高。

大多数都在1秒以上，甚至10秒以上的也不少见。

商业上使用基本上是不可能的。

这种情况最好直接去银联。

相关阅读支付系统设计：支付系统的账户模型（一）支付系统设计：对账处理（二）支付系统设计：银行卡支付（三）雷锋网注：本文由人人网作者撰写产品经理社区@phoenix 排老熊原创发布（微信公众号：shamphone）。

凤凰牌老熊，程序员&架构师。

曾就职于富龙、三星（中国）研究院及国内一些大型互联网公司。

2006年加入爱奇艺，负责数据仓库和支付系统建设。

文章未经许可不得转载。

站长声明

标签：

上一篇：见新势力NO.87 -安酷科技专访创始人孙健：让企业安全应急培训生动有效

下一篇：自主研发健康服务机器人，吉姆考拉完成1000万元天使轮融资

【创业24小时】2022年7月18日

2022年7月18日投融资近48小时内，国内市场共发生5起投资披露事件，2起汽车交通（小康股份、东正金融））、先进制造案例1个（美易自动化）、医疗健康案例1个（汉赞迪）、电商零售案例1个（卡巴纳）。选定的整车及零部件制造商【小康股份】完成IPO后融资，融资金额71亿元人民

06-17
极游健已分期完成过亿元C轮融资，投资方为海外知名机构，

据投资界7月5日消息，消费金融品牌“极有易”透露已完成C轮融资。不过，他们并未公布本轮融资的具体金额。据知情人士人士透露，本次投资方为海外知名机构，C轮融资金额超过5亿元人民币。　　捷友分期于今年7月成立。是一家向蓝领群体提供手机、电脑、电器等产品分期付款服

06-18
每日菌完成新一轮融资，金雨茂物领投

益生菌膳食品牌“每日菌”宣布完成新一轮融资，金雨茂物领投，专注新药和大健康领域的百亿基金领域投资后，联捷启辰、兰尚资本跟投，老股东林格创投持续加大投资力度。小餐桌增值业务单元担任本轮融资的独家财务顾问。本轮融资将主要用于产能升级、品牌数字化、产品研发创新

06-17
天上的富贵终于轮到尔滨了，

天上的财富终于轮到尔滨了。往年的寒冬，笼罩着被敲诈印象的东北白雪皑皑的乡村，是游客不敢回避的地方，而三亚则是最爱。今年，游客的交通由北转向南。东北老牌网红哈尔滨在元旦假期通过旅游赚了59亿元，已经展现了当年顶级城市的地位。老哈忙着迎宾、招待客人，而老吉、

06-18
市场消息：天鹅到家暂停赴美IPO计划

北京时间7月19日晚间消息。据报道，知情人士人士今日表示，中国家居服务平台天鹅到家已暂停在美IPO（首次公开募股）计划。

06-18
盈科资本再发百亿基金

5月27日，盈科资本宣布完成盈科科技创新产业基金募资。本次募资规模1亿元，吸引产业资本、政府产业基金、金融机构等长期资金积极投资。订阅。基金将继续发挥盈科资本在生物医药及核心技术领域的专业优势，依托盈科资本庞大的产业生态系统和专业布局能力，深度聚焦生物医药

06-18
IC Insights预测：2018年至2023年中国IC产量将以15%的复合增长率增长

半导体行业观察中国自2018年以来一直是集成电路最大消费国，但根据2020年新页IC Insights的MacLean报告指出，根据分析和预测，中国IC产量的大幅增长并未立即出现（今年1月发布）。如下图所示，中国IC产量占其年度1亿美元IC市场的15.3%，高于一年前的12.6%。此外，IC Insigh

06-06
BOSS直聘成为冬奥会官方人力资源服务独家供应商

近日，北京冬奥组委与北京华品博瑞网络科技有限公司签署赞助协议，旗下品牌BOSS直聘正式成为北京冬奥会人力资源服务官方提供商。也是冬残奥会官方独家人力资源服务提供商。 BOSS直聘是基于移动互联网技术的创新应用模式。通过将即时聊天功能引入在线招聘场景，为应聘者和用

06-18
浙江邦尔骨科医疗集团获启明创投C轮融资，投资金额超3亿元

据投资界5月9日消息，今日，浙江邦尔骨科医疗集团宣布完成C轮融资并成功获得投资3亿多元。投资方为启明创投。　　据悉，邦尔集团创始人、董事长程栋表示，本次C轮融资的成功投资，将加速邦尔在华东市场的全面布局，并逐步向全国市场推广，为邦尔带来新的发展加油巨大的推动

06-18
中关村软件园已入驻700多家国内外知名IT企业总部及全球研发中心

头条新闻是服贸会在即，《北京日报》专门发文介绍北京数字贸易在服务贸易博览会上。文章称，中关村软件园呈现出典型的现代服务业高端形态，已成为众多国内外知名IT企业总部和全球研发中心的所在地。总部经济占比超过80%。作为北京唯一拥有国家数字服务出口基地、国际信息产

06-18
UCloud通过IPO注册，成为科创板云计算第一股

雷锋网12月24日报道，证监会核准UCloud科技股份有限公司（以下简称“UCloud”）IPO注册简称：UCloud）登陆科创板，这也意味着UCloud即将成为国内资本市场的“云计算第一股”，也为后续云计算厂商冲击科创板提供了参考。和科创板。数据显示，UCloud还公布了全年、全年、1-6月

06-18
扎克伯格正式启动IPO路演流程，计划融资106亿美元

扎克伯格正式启动IPO路演流程，计划融资1亿美元。市场研究公司Pivotal Research分析师布莱恩维瑟今天发布了一份研究报告：“鉴于散户投资者近期对Facebook的兴趣，如果股价超过IPO定价，我们不会感到惊讶。

06-18