在上一篇 支付系統(tǒng)之銀行卡支付中���,挖了個坑����,就是關(guān)于綁卡的坑�。 在用戶使用銀行卡做支付之前,首先需要完成綁卡的操作�。怎么實現(xiàn)綁卡,怎么驗證用戶綁的是自己的而不是隔壁老王的卡�����,這就是本期的重點�。
為什么要求用戶綁卡?這和快捷支付有關(guān)�。參見上一篇文章的分析,綁卡是將用戶卡信息提供給電商����,以后電商就用這個信息去銀行完成支付�����。綁卡實際上是一個授權(quán)�����,讓用戶允許商家自動從他的賬戶上扣除資金�。所以綁卡也叫簽約�����,用戶和銀行���,商家的三方簽訂的支付合約�����。
但我們知道���,綁卡對用戶和商戶來說都存在巨大風險。如果說用戶綁卡是圖省事����,那商戶為什么要做這個事?首先當然是提升用戶體驗了�,讓用戶花錢更容易。其次��,提升支付成功率��。使用網(wǎng)銀支付成功率在20%左右����,銀聯(lián)直聯(lián)成功率一般在50%左右,銀行卡直聯(lián)可以提升到70%左右�����。這是相當可觀的數(shù)據(jù)���。所以�����,當你看到綁卡送洗衣粉之類做法時����,不需要擔心商家會不會賠本。
怎么綁卡�?我們知道對接銀行有兩種途徑,直接對接銀行接口和通過銀聯(lián)來間接對接�。這兩種情況下綁卡處理也不同。
綁卡場景
直觀的�,電商網(wǎng)站會在用戶后臺提供一個綁卡的入口,讓用戶直接綁卡�。以支付寶綁卡流程為例,我們可以體驗下:
這里有如下要點:
對這個入口不要指望太多�,更多的用戶是在支付中綁卡��。也就是提交訂單后����,發(fā)現(xiàn)沒有銀行卡了�����,就開始綁卡���。 和純綁卡流程不同的是�����,最后一步����,綁卡成功后�����,一般都同時完成支付�。有些渠道會提供綁卡并支付的接口,減少交互次數(shù)。
綁卡流程
先介紹比較簡單的銀聯(lián)直聯(lián)綁卡��。為了保證卡的安全���,綁卡有這些前置需求:
1.用戶必須已經(jīng)綁定了手機號���。該手機號用于修改支付密碼。
2.用戶需設(shè)置了支付密碼�。支付密碼不同于登錄密碼。
針對用戶不同狀態(tài)�����,綁卡流程上有區(qū)別����。當然,綁卡是安全操作�����,要求用戶必須登錄到系統(tǒng)中�。為了避免和服務(wù)器端的交互被劫持,所有操作必須在安全鏈接中進行�,即使用https����。當用戶開始綁卡時���,執(zhí)行如下流程:
1.檢查用戶是否有手機號����。沒有則進入設(shè)置手機號流程��。
2.檢查用戶是否設(shè)置支付密碼����。如果已經(jīng)設(shè)置��,則需要用戶輸入密碼����。確認后開始綁卡。否則�,也是先進去綁卡后設(shè)置密碼。
3.用戶輸入卡號�,系統(tǒng)根據(jù)卡號判斷卡的發(fā)卡行,并顯示給用戶�����。有些實現(xiàn),如微信支付��,會提供掃卡識碼功能�����。
4.用戶輸入銀行預(yù)留手機�����。對于沒有綁過卡的用戶����,需要用戶提供真實姓名和身份證號。對于信用卡�,還需要輸入cv碼和有效期。這一步��,卡的信息都收集全了����。
5.調(diào)用銀行綁卡驗證接口進行綁卡。這里有一個四要素驗證的概念���。由于國內(nèi)要求實名制��,所有銀行卡都是實名辦理的���,所以銀行可以驗證姓名�����,身份證號����,銀行卡號和手機號是不是一致的�����,如果沒問題����,則會發(fā)短信到手機上����。
6.用戶輸入短信驗證碼并確認綁卡,服務(wù)器端將用戶實名信息以及短信驗證碼組合形成報文���,發(fā)送給銀行���,執(zhí)行簽約操作�����。銀行側(cè)簽約成功后��,返回簽約號給商戶��。
卡bin
這里有個問題���,如何根據(jù)卡號判斷發(fā)卡行?這就需要卡bin����。
BIN號即銀行標識代碼的英文縮寫。BIN由6位數(shù)字表示���,出現(xiàn)在卡號的前6位�,由國際標準化組織(ISO)分配給各從事跨行轉(zhuǎn)接交換的銀行卡組織��。銀行卡的卡號是標識發(fā)卡機構(gòu)和持卡人信息的號碼��,由以下三部分組成:發(fā)卡行標識代碼(BIN號)、發(fā)卡行自定義位����、校驗碼。目前�,國內(nèi)的 銀行卡 按照數(shù)字打頭的不同分別歸屬于不同的銀行卡組織,其中以BIN號“4”字打頭的銀行卡屬于VISA卡組織�����,以“5”字打頭的屬于MASTERCARD卡組織���,以“9”字和“62”�����、“60”打頭的屬于中國銀聯(lián),而“62”��、“60”打頭的銀聯(lián)卡是符合國際標準的銀聯(lián)
標準卡 �����,可以在國外使用����,這也是中國銀聯(lián)近幾年來主要發(fā)行的銀行卡片����。 大部分銀行卡號前6位即可確定發(fā)卡行和卡類型�,但也有非標卡需要6-10位才可以判斷出來。需要維護一個卡bin庫�。附件是一個比較完整的卡bin庫, csv格式的����。
短信和身份驗證
一般綁卡操作第五步需要銀行下發(fā)短信驗證碼。 短信驗證的接口�,不同銀行還不一樣。有些銀行是短信和身份驗證一起做了���;有些銀行是可以配置身份驗證是否同時發(fā)短信�����。還有些比較奇葩的機構(gòu)����,比如某聯(lián),接口中讓你傳身份信息�����,但實際上沒傳也是可以的�,也不驗證身份信息到底對不對。這在對接渠道時需要特別注意��。
此類接口一般包含如下內(nèi)容:
-
版本號:當前接口的版本號����;
-
編碼方式: 默認都是UTF-8,指傳輸?shù)膬?nèi)容的編碼方式���;
-
簽名和簽名方法: 生成報文的簽名��。 不是所有的字段都需要放到簽名中�,文檔中會說明哪些字段需要簽名�;
-
簽名算法:生成簽名的算法,RSA, RSA128���, MD5等。
-
商戶代碼:在渠道側(cè)注冊的商戶號�。
-
商戶訂單號:即發(fā)送給渠道的訂單號;
-
發(fā)送時間:該請求送出的時間。
-
賬號和賬號類型: 銀行卡��、存折���、IC卡等支持的賬號類型以及對應(yīng)的賬號�����;
-
卡的加密信息:如信用卡的CVN2����,有效期等���。
-
開戶行信息:開戶行所在地以及名稱�����;大部分是不需要的��。
-
身份證件類型和身份證號: 可以用于實名驗證的證件���,指 身份證、軍官證���、護照���、回鄉(xiāng)證��、臺胞證�、警官證�����、士兵證等��。不同銀行可以支持的證件類型不一樣�����,這也不是問題�����。大部分就是身份證了��。
-
姓名:真實姓名�,必須和身份證一致;
-
手機號:在所在銀行注冊的手機號�����。
系統(tǒng)會返回上述數(shù)據(jù)的驗證結(jié)果�。如果驗證通過,則會發(fā)短信��。但這不是所有的渠道都是這樣���。哪些字段會參與驗證��、需不需要發(fā)短信��,需要注意看接口文檔�����。
綁卡接口
綁卡接口和發(fā)短信接口類似���,還需要將用戶的卡號,身份證等信息傳遞過去���。在綁卡成功后�����,會返回一個簽約號�����。這個簽約號是后續(xù)調(diào)用支付��,解約等接口所必須的��。
這里有個問題�,已經(jīng)綁卡的用戶,調(diào)用綁卡簽約接口再綁一次��,會出現(xiàn)什么情況���?這個和銀行實現(xiàn)有關(guān)�。
大部分銀行�,如農(nóng)業(yè)、浦發(fā)��、建行等�����,對綁卡簽約接口調(diào)用��,會首先驗證身份信息,如果驗證不通過�����,則不執(zhí)行后續(xù)操作��。驗證通過后�����,再檢查這個卡在該商戶下是否已經(jīng)綁過了��,
如果沒有綁過��,則執(zhí)行綁卡���,否則會提示卡已經(jīng)綁定過了,不能重復(fù)簽約����。
但工行的實現(xiàn)不一樣,他是首先驗證這個卡是不是已經(jīng)綁過了��,如果已經(jīng)綁卡��,則不繼續(xù)驗證身份信息。
總之��,銀行都不支持重復(fù)綁卡����。
銀聯(lián)綁卡
銀聯(lián)直聯(lián)綁卡和銀行綁卡類似,但是得注意驗證接口�����,僅驗證卡號和姓名�,不驗證身份證號和手機號。這導致第5步無法正常進行��。銀聯(lián)只有到第六步執(zhí)行綁卡時才做身份驗證�����。 所以在處理上�����,還需要做一些調(diào)整�,來確保和銀行的流程的一致。 一種處理方法是,對銀聯(lián)�����,在第五步就開始調(diào)用銀聯(lián)接口執(zhí)行綁卡操作���,但是在本地標記為預(yù)綁卡狀態(tài)�����;商戶側(cè)發(fā)送短信驗證碼,驗證通過后�����,才將狀態(tài)設(shè)置為綁卡成功�。
銀聯(lián)網(wǎng)銀綁卡處理起來比較麻煩。用戶在電商頁面上輸入卡號�����,然后被導航到銀聯(lián)頁面上去完成綁卡操作�����,成功后��,銀聯(lián)返回一個token作為簽約號,用于支持后續(xù)操作�����。這問題就來了���,用戶可以在銀聯(lián)頁面上綁定一個別人的卡�,而電商側(cè)是無法知道這個卡的情況的���。所以這種方式盡量不要用�����。
實名認證
綁卡操作有個不錯的副產(chǎn)品��,就是實名認證��。常說的二要素����,三要素�,四要素認證,可以通過這個操作完成。
二要素指姓名和身份證號�����,三要素加上銀行卡號����,四要素則加上手機號?����?雌饋?,似乎銀行都應(yīng)該支持四要素驗證,但大部分銀行接口僅支持三要素��,畢竟手機號還是非常容易變�。
當然�����,實名認證�,也就是二要素認證,是應(yīng)用最多的認證了����。國內(nèi)唯一的庫是在公安部這����,由NCIIC負責對外提供接口�����?���?梢蕴峁┤缦鹿δ埽?/p>
簡項核查:返回“一致”“不一致”“庫中無此號”
返照核查:返回“一致 網(wǎng)紋照片”“不一致”“庫中無此號”
人像核查:返回“同一人”“不同人”“庫中無此號”
官方接口收費是 5元/條。 市面上主要的第三方服務(wù)提供商有國政通(簡項�����、返照)�����、諾證通(簡項)���、IDface(三接口)等�,收費簡項核查:0.5~2.0元��、返照核查為0.8~2.1元、
人像核查2.0~8.0元不等��。一般都和訪問量有關(guān)��,量大從優(yōu)�。 當然,這里也要注意��,涉密人員是沒法查到相關(guān)信息的����。
性能上, XX通一般在200ms內(nèi)即可返回結(jié)果���,普通商用應(yīng)該是沒問題的����。 有些公司還會額外提供四要素接口����,以XX通為例�����,它號稱支持大部分銀行卡的四要素認證。但是實現(xiàn)上有點兒懵�,居然是實時請求銀行的接口,這就導致接口延遲非常高��,1秒以上的占大部分���,甚至10秒以上的都不少見���,基本無法商用。這種情況下�����,還不如直接上銀聯(lián)呢���。
頭條的同學們�,記得幫忙點贊啊�。
感謝您對本文的關(guān)注,如需要及時收到鳳凰牌老熊的最新作品����,或者有相關(guān)問題探討,請掃碼關(guān)注“鳳凰牌老熊”的微信公眾號�����,在公眾號里留言或者回復(fù),可以盡快處理�����,謝謝���。
|
