产品设计：解读银行卡支付背后的原理 .docVIP

产品设计：解读银行卡支付背后的原理 现代生活已经离不开的银行卡支付，背后的产品设计还是大有门道的。本文作者对银行卡支付的原理进行了分析梳理，与大家分享。 上次写了一篇『轻轻一扫，立刻扣款，付款码背后的原理你不想知道吗』 ，今天小黑哥再来跟大家聊聊支付。 虽然现在我们主流的支付方式是使用支付宝/微信支付，但是当我们余额不足，或者选择从银行卡扣款时，将就会使用到银行卡支付。 所以今天我们就来来讲讲银行卡支付的相关原理，科普一下银行卡支付整个流程。 银行卡支付可以将其分为线上支付与线下支付。其中线下支付分类就比较简单，就是我们平常在商城购物时，POS 机刷卡支付。 而线上支付分类就比较多了，根据银行卡类别，可以分为信用卡支付与借记卡支付。按照支付行为，我们又可以将其分为快捷支付，网银支付，Token 支付。 今天我们主要来聊聊快捷支付与网银支付，这两种方式是目前比较流行的方式。其他几种方式，我们可以后面再来聊聊。 一、网银支付 首先我们来聊聊网银支付，这种方式在 10 年前，应该是最主流线上支付方式。 我们以电商购物为例，我们在网站上下单之后，选择银行卡支付通常会跳转到一个收银台页面。然后在收银台页面我们选择相关银行，点击到银行支付最后将会跳转到相应的银行页面。 这个收银台页面可能是商户的页面，也可能是支付机构的页面，这个跟网银支付对接模式有关。 跳转到银行页面之后，我们首先需要下载按照银行安全控件，这样我们才能输入银行卡的相关信息。其次我们还需要使用银行给的安全设备，比如 USB 盾，令牌器，令牌码等。 在银行网站支付成功之后，就可以点击返回同步跳回到电商的网站，整个流程如下图所示： 网银支付流程 后台支付流程如下： 可以看到网银支付整个链路非常长，任何一步都可能发生失败，所以支付成功率不会很高。另外有部分银行网银页面只能在 IE 中打开，而且还有可能是很老版本的 IE。再加上网银支付为了保证安全性，还需要使用 U 盾，安装安全插件。 这个过程说实话还是很复杂，还记得当年使用某行网银充值购买黄钻的时候，搞了一下午都没成功的，各种证书安装失败啥的。第一次在线充值，就这么失败告终。 感谢某行为我省下 10 元零花钱~ 二、快捷支付 快捷支付，指的用户提供卡信息给电商等商户，商户会在后台将卡信息传递给支付机构，然后进行协议绑定。一旦绑定成功，下次支付，无需再让用户提供卡号等信息。 还是以电商购物支付为例，首次支付，需要经历绑卡过程。 扣款成功之后，前往银行 APP 可以查到该卡与支付机构绑定记录。 历次在电商网站下单支付时，由于电商网站已保存记录，所以无需再输入卡信息。历次支付流程如下： 上图展示历次支付过程还需要输入验证码的情况，这一步其实还可以做到一定额度的免密支付。 快捷支付接口一般可以归为两类： 签约/支付 代扣支付 1. 签约/支付 签约/支付需要分为两个步骤： 签约申请/签约验证 支付 签约过程需要传入银行卡信息，银行卡号，户名，身份证号，手机号，信用卡的话可能还需要传入 cvv2 以及有效期。这个过程主要是为了鉴权，校验银行卡信息的正确性。 一旦支付机构/银行端信息校验成功，将会下发短信。用户回填短信，就代表同意开通快捷支付，建立绑定关系。绑定成功之后，支付机构将会返回给商户协议号。 支付过程，商户就可以拿着协议号进行扣款。 整个后台流程如下所示： 2. 代扣支付 代扣支付的过程相比签约/支付就比较简单，每次直接上送银行卡信息，就可以直接扣款。代扣支付原则上可以做到整个过程无密支付，即不需输入验证码，完成扣款。 流程较为简单，详情可以参考快捷支付支付过程。 相比于签约/支付过程，代扣支付看起来更快捷，但是这种方式安全风险就会比签约支付大，可能就会出现盗刷现象。原本代扣接口本应适用于水电煤等扣费场景，但是发展过程一度被用于金融支付等场景。 现在这类接口正在慢慢下线，正在被新的商业委托接口（类似于签约/支付）所代替。 虽然快捷支付支付体验好，整个流程无需跳转到银行页面，支付过程不会被打断，支付成功率高。 但是易用跟安全性，永远都是矛盾。由于这个过程用户向商户提供银行卡相关信息，这些数据如果一旦被窃取，资金就可能会被盗取。另外，快捷支付，手机验证码可能是最后一道防线，手机如果丢失，那么银行卡资金也可能被盗取。 三、银行支付相关问题 总得来说，对接银行卡支付渠道，整个过程不是很难的，无非就是按照接口文档，拼接参数，然后做一些相应的调试。但是这个过程有些点需要特别注意。 1. 加签/验签 银行卡支付一般通过互联网传输，这个过程为了防止报文被串改，通常会采用 RSA2 ，国密等加密算法加密报文，得到签名串，然后一起上送给支付机构。 支付机构方会进行相应的验签，验签失败，就会驳回支付请求，这样可以有效保证支付请求是从合法商户发起。所以