目录
在线支付持续火热,但是涉及到资金问题,必须要安全稳定,这里记录一下支付方面的一些知识
支付方式
收款
1、网银支付
提供PC或者Wap跳转到银行网银进行支付,使用起来较繁琐,而且每个银行支持的不一样,对用户体验来说可能略微繁琐一些,目前对公方面较多使用,对私方面用的已经比较少了。
2、扫码支付
微信支付宝或银行的二维码支付,扫码支付现在是个趋势,方便快捷从交易量上也能看出来,较多适合大部分PC页面的支付。
3、SDK支付
微信支付宝或银行的SDK唤起客户端支付,比较适合移动端使用,结合app唤起非常流畅,较多用在手游app端的支付。
4、卡类支付
这是将很多如移动充值卡、游戏卡等,卡类视作一种支付方式,完成整个支付流程,游戏业务较多喜欢使用。
5、快捷支付
比较便捷的一种支付方式,需要银行四要素或者六要素(信用卡)鉴权,即可快速的完成整个操作,而且存在绑卡的概念省下用户第二次再输入繁琐卡号等操作,移动与PC方面均支持。
6、代扣
代扣所走步骤与快捷相似,又有所不同,代扣首先要用户完成签约,完成签约之后就可以定时调用接口,直接在用户账面上进行扣款。比较适合会员类的业务,定时扣款。
退款
即收款的反交易,可以将部分收款或者全部收款按照原有的收款方式退回到用户账户。
付款
即使用代付接口将金额打入用户银行卡内。
其他
红包:商户账户金额派发红包到用户账号金额。
代金券:商户代金券账户派发代金券到用户代金券账户。
钱包:用户账户体系下的余额搭配其他的支付方式。
交互流程
通常按照如下流程进行交互:
下单支付
收单校验->选择合适渠道->记录流水->记账处理->请求渠道支付->前往支付渠道完成支付。
结果通知
支付渠道异步或者同步通知->完成一系列验签、订单信息核对等操作->记账处理更改状态->异步通知业务。
支付查询
获取长时间(如5分钟前)未更改状态订单->前往渠道查询->验签核对订单信息等操作->根据状态回写订单。
支付对账:
T+1或者T+2获取对账文件->按照库内数据进行比对->记录异常订单进行通知。
账户体系
针对网关等操作,支持无用户ID体系即可完成的,所以这种业务可以不使用账户体系,只需要一个中介账户即可完成借贷记账流程。
针对用户余额支付等操作,需要在第三方支付平台有一套用户账户体系来完成。
通道管理
如何找到想使用的通道
可能需要按照金额选择收费最低的通道,按照时间启用不同的通道,按照版本使用不同的通道,按照优先级权重使用不同的渠道
通道故障如何切换
如何在渠道故障时第一时间进行切换?保证用户支付不受影响?如何尽量减少人工干预,避免浪费时间?
这些都是一个通道管理所必须考虑的内容。
交互安全
全站使用https
http存在着容易被劫持、被篡改等风险,而https协议增加了SSL/TLS协议的支持,传输数据会进行加密,有校验机制,所以针对这种涉及到资金安全的情况,极有必要使用https协议。
公网与专线
公网提供服务即所有人都可以访问到,而专线则是一根实际的物理网线,所以专线服务极大提高了安全性,在接入一些快捷、代付、银企直联等业务很多银行都会要求使用专线,专线方面的操作需要双方机房方面的人员与运营商进行沟通拉取。
签名与验签
防止篡改很有效的一种方式,双方有外部所不知道的签名key,依据参数按照一定规则生成不同的签名key,这样只要篡改即会发现。当前常用的方式有两种:1、按照一定规则拼接原串后,拼接唯一key值,进行md5生成。2、按照一定规则拼接原串后,使用RSA私钥签名,公钥验签。
加密
支付中会涉及到很多敏感信息,如何保证这些安全,即需要加密。当前加密方式有两种:1、对称加密,3DES、AES等,速度快,但是只要一方泄露了key,即极其不安全。2、非对称加密,RSA等,安全,但速度慢,不适合长串。 所以很多采用如下组合方式,即生成一个key,使用这个key将所有的数据对称加密,使用非对称加密将此key进行加密,然后传输数据
仿钓鱼
主要两点:
1、页面来源,设置refer白名单。
2、请求时间,针对过早的订单拒绝。
简单风控
主要可以在如下几点进行思考:
1、用户相关,如IP、ID、交易次数、用户等级限额。
2、商户相关,如商户状态、商户单笔限额。
注意避免风险
收款少成功,付款、退款少失败
针对收款判断状态一定要谨慎判断,防止误判断其成功后,通知业务发货操作。
针对付款、退款判断状态要防止误判断其失败,这样用户就可以立马再次发起退款了。
校验通道及订单信息
针对异步通知所收到的信息,一定要注意几点:
1、做好签名验签工作,做好状态的判断。
2、校验好通道的信息,比如是否是在渠道那里所开设的partner_id?
3、校验好订单信息,包括支付金额都要详细验证一下。