如何安全地實施3d安全支付

Question

我想知道接受信用卡付款的最佳方式是什麼，需要驗證3-D Secure。目前結帳流程是這樣的：

1. 客戶提交支付
2. 支付網關返回一個錯誤，說明該卡需要3 d安全代碼處理。返回響應中的ACS URL
3. 我將用戶重定向到開證行的驗證站點，並在驗證完成後將ACS的回調URL傳遞給重定向
4. 客戶輸入驗證碼並將ACS重定向到回叫URL指示成功驗證
5. 要完成此過程授權令牌，我不得不重新提交授權令牌的原始請求到支付網關

我的問題是在最後一步。由於我需要重新提交原始請求（包含客戶的信用卡信息），因此我需要暫時將其存儲在某處，以便在調用回調URL時檢索它。有沒有其他的選擇？

我在考慮嘗試一個iframe解決方案：原始形式永遠不會關閉，我在iframe中顯示驗證過程。當進程完成時，即調用回調url，我隱藏iframe並用所需值更新原始表單並重新提交。有沒有人嘗試過這種技術？

---

Answer 1

正如你可能已經在文章中已經注意到的那樣，在iframe中展示銀行的頁面是首選的選項。雖然如果您進一步閱讀，它還會介紹其他安全功能，特別是有關網絡釣魚保護的內容。因爲你的客戶不知道他真的在給誰發送他的密碼。

但回到您的建議，如果您在iframe或彈出窗口中顯示它，您將能夠將原始表單存儲在您的基本頁面上，然後使用收到的身份驗證令牌重新提交它。這是一個非常好的主意，因爲您不需要執行任何PCI合規性工作。所以不僅對你更容易推薦:)。

Answer 2

我已經做了一些最新的3D安全工作。從我個人的經驗：

1. 我通過信用卡信息與前向網址到銀行 3d安全網址。
2. 用戶被重定向到3d安全網址並提示輸入他的密碼。
3. 當他點擊繼續時，用戶將通過授權令牌傳遞給轉發網址 - 信用卡信息也會一起傳遞。

Answer 3

使用Sage Pay（我會假設其他支付提供商），您無需在最後一步再次傳遞完整訂單信息，只需輸入3D Secure表單的響應代碼和唯一的交易參考。因此存儲卡的詳細信息是沒有必要的。

對我來說，過程是：提交給支付網關

1. 信用卡資料等，以及獨特的交易參考。
2. 支付網關響應3D安全細節（ACSURL和參考代碼）。
3. 將用戶重定向到3D安全形式（通過參考代碼和回調URL）輸入其詳細信息。
4. 驗證碼傳回給回叫網址。
5. 服務器必須從步驟1向支付網關發送驗證碼和相同的交易參考。
6. 支付網關響應成功/失敗信息。