本文介紹的是電商網(wǎng)站為業(yè)務(wù)提供的快捷支付接口，而不是銀行或者其他渠道提供給電商的快捷支付接口。

快捷支付指用戶在電商網(wǎng)站上執(zhí)行支付時(shí)，不需要輸入卡信息，僅根據(jù)短信或者其他的驗(yàn)證方式確認(rèn)身份后，就可以執(zhí)行扣款的支付方式，這是目前電商網(wǎng)站采用的主要支付方式。

快捷支付分為首次支付和非首次支付，他們的流程是不一樣的，區(qū)別就在于：首次支付的時(shí)候，用戶需要綁卡；而非首次支付則是直接使用已經(jīng)綁定的卡來執(zhí)行扣款，僅需做身份驗(yàn)證就行。

注意，這里介紹的是電商網(wǎng)站為業(yè)務(wù)提供的快捷支付接口，而不是銀行或者其他渠道提供給電商的快捷支付接口。

一、支付場景

快捷支付第一步是要求用戶做綁卡操作。綁卡是將用戶的銀行卡信息提供給電商，以后電商就用這個(gè)信息去銀行完成支付。綁卡實(shí)際上是一個(gè)授權(quán)，讓用戶允許商家自動(dòng)從他的賬戶上扣除資金。所以綁卡也叫簽約，用戶和銀行，商家的三方簽訂的支付合約。

但我們知道，綁卡對用戶和商戶來說都存在巨大風(fēng)險(xiǎn)。如果說用戶綁卡是圖省事，那商戶為什么要做這個(gè)事？

快捷支付在支付場景上的優(yōu)勢在如下幾個(gè)方面：

1. ?提升支付成功率

網(wǎng)銀支付需要用戶去銀行開通網(wǎng)銀，而對快捷支付來說，這并不是必須的。 這樣使得可以使用快捷支付的用戶群體得到擴(kuò)展。

使用網(wǎng)銀支付成功率在20%左右，銀聯(lián)直聯(lián)成功率一般在50%左右，銀行卡直聯(lián)可以提升到70%左右。

這是相當(dāng)可觀的數(shù)據(jù)。所以，當(dāng)你看到綁卡送洗衣粉之類做法時(shí)，不需要擔(dān)心商家會(huì)不會(huì)賠本。

2. ?提升支付安全性

網(wǎng)銀是需要用戶自己來保證支付環(huán)境的安全。在支付寶推出快捷支付和卡通支付之前，網(wǎng)銀還是主要的支付方式，這導(dǎo)致各種的木馬，釣魚病毒肆虐，目標(biāo)之一就為竊取用戶的銀行卡信息。

銀行發(fā)放U盤U盾，各種的證書，都是為了保證網(wǎng)銀支付的安全，這也帶來了各種支付的不便：哪天忘了帶了，就無法完成支付。而快捷支付是由商家來保證支付信息的安全，可靠性得到保障。

當(dāng)然，至于商家如何保證這些信息安全，還有待商榷?？偟膩碚f，這也比個(gè)人自己抵御黑客黑產(chǎn)要靠譜多了。

3. 提升用戶體驗(yàn)

想想網(wǎng)銀支付的流程，用戶在跳轉(zhuǎn)到銀行頁面后，還得插入U(xiǎn)盾，各種的核對。產(chǎn)品經(jīng)理應(yīng)該知道：每增加一個(gè)操作，都會(huì)帶來一定的掉單率。 而快捷支付僅需在第一步完成綁卡后，以后的扣款，最多一個(gè)短信就搞定了，敗家更方便。

在快捷支付中，綁卡和支付都不需要和渠道打交道，都是通過服務(wù)器來中轉(zhuǎn)；而且在綁卡成功后，操作都在服務(wù)器上進(jìn)行。這使得這種支付方式可以跨平臺(tái)使用，手機(jī)，PC都可以。甚至在其他終端完成綁卡后，可以在電視，嵌入式設(shè)備上做支付。

4. 獲取可靠支付數(shù)據(jù)

快捷支付還有一個(gè)很好的副作用， 那就是得到真實(shí)用戶信息，特別是身份證信息、銀行卡號、手機(jī)號、驗(yàn)證方式、真實(shí)姓名等。再結(jié)合用戶的訂單信息，大家就可以知道為什么淘寶、京東等這些電商網(wǎng)站現(xiàn)在的商品推薦會(huì)這么精準(zhǔn)了。

二、綁卡流程

怎么綁卡？我們知道對接銀行有兩種途徑，直接對接銀行接口和通過銀聯(lián)來間接對接，這兩種情況下綁卡處理也不同。直觀的，電商網(wǎng)站會(huì)在用戶后臺(tái)提供一個(gè)綁卡的入口，讓用戶直接綁卡。

以支付寶綁卡流程為例，我們可以體驗(yàn)下:

這里有如下要點(diǎn)：

• 只能綁自己的卡，這主要從安全角度考慮：作為自己的卡，指銀行卡在銀行預(yù)留的姓名和身份證與網(wǎng)站預(yù)留的一致。
• 需要用戶在銀行側(cè)預(yù)留的手機(jī)號進(jìn)行短信驗(yàn)證：但不是所有銀行都需要。這個(gè)時(shí)候，為了統(tǒng)一處理，可以考慮自己發(fā)驗(yàn)證短信。

對這個(gè)入口不要指望太多，更多的用戶是在支付中綁卡。也就是提交訂單后，發(fā)現(xiàn)沒有銀行卡了，就開始綁卡。

和純綁卡流程不同的是：最后一步，綁卡成功后，一般都同時(shí)完成支付。有些渠道會(huì)提供綁卡并支付的接口，減少交互次數(shù)。

為了保證卡的安全，綁卡有這些前置需求:

1. 用戶必須已經(jīng)綁定了手機(jī)號。該手機(jī)號用于修改支付密碼。
2. 用戶需設(shè)置了支付密碼。支付密碼不同于登錄密碼。

針對用戶不同狀態(tài)，綁卡流程上有區(qū)別。

當(dāng)然，綁卡是安全操作，要求用戶必須登錄到系統(tǒng)中。為了避免和服務(wù)器端的交互被劫持，所有操作必須在安全協(xié)議中進(jìn)行，即使用https。

1. 輸入卡號

用戶輸入卡號，系統(tǒng)對卡號執(zhí)行初步驗(yàn)證。 驗(yàn)證的依據(jù)是卡bin和LUHN算法。參見支付系統(tǒng)之銀行卡支付。

當(dāng)然，還有些系統(tǒng)會(huì)提供掃卡識(shí)碼的功能，比如微信支付，掃碼識(shí)別的準(zhǔn)確率可以達(dá)到99%；有些卡的卡號顏色和背景色一致的，就會(huì)識(shí)別出錯(cuò)。如果用戶沒細(xì)看，進(jìn)入下一步，就會(huì)報(bào)告錯(cuò)誤了，這種錯(cuò)誤還比較難發(fā)現(xiàn)。

自動(dòng)識(shí)別卡號，還需要考慮在識(shí)別錯(cuò)誤時(shí)如何圓過去的問題。

2. 獲取卡信息

首次綁卡需要提供卡信息，借記卡需要卡號，用戶真實(shí)姓名和身份證，這個(gè)所有銀行都一樣（有不一樣的，留言告知，謝謝）。

信用卡就復(fù)雜點(diǎn)，大部分信用卡還需提供CV碼和有效期。但是如果和銀行關(guān)系好，拿到合適的接口，把這兩個(gè)因素都免了，也是有可能的。

3. 要素驗(yàn)證

首先在服務(wù)器端做驗(yàn)證，主要是驗(yàn)證卡是否已經(jīng)被綁過。 如果一個(gè)用戶有多個(gè)賬戶，系統(tǒng)還需要考慮是否支持這些賬戶都綁到一個(gè)卡上。 接著調(diào)用銀行綁卡驗(yàn)證接口進(jìn)行綁卡。

這里有一個(gè)四要素驗(yàn)證的概念：由于國內(nèi)要求實(shí)名制，所有銀行卡都是實(shí)名辦理的，所以銀行可以驗(yàn)證姓名、身份證號、銀行卡號和手機(jī)號是不是一致的。如果沒問題，則會(huì)發(fā)短信到手機(jī)上。

這里還有幾個(gè)注意點(diǎn)：

1. 關(guān)于手機(jī)號。大家都知道，銀行預(yù)留的手機(jī)號一般都是辦卡的時(shí)候留的，過了幾年，換手機(jī)了，很多人就忘了同步到銀行。所以很多銀行就不驗(yàn)證手機(jī)號。
2. 關(guān)于驗(yàn)證短信，手機(jī)號都不是必須的，那短信就可能都不發(fā)了。這在流程設(shè)計(jì)時(shí)需要統(tǒng)一處理。銀行不發(fā)短信就的自己發(fā)。
3. 重復(fù)綁卡問題。如果系統(tǒng)支持多賬戶，那不可避免的出現(xiàn)一個(gè)人綁卡到多個(gè)賬號上。渠道側(cè)綁卡，有接口支持重復(fù)綁卡，有些是不支持的。所以如果需要重復(fù)綁卡，還得在服務(wù)器端處理。

4. 執(zhí)行綁卡

用戶輸入短信驗(yàn)證碼并確認(rèn)綁卡，服務(wù)器端將用戶實(shí)名信息以及短信驗(yàn)證碼組合形成報(bào)文，發(fā)送給銀行，執(zhí)行簽約操作。

銀行側(cè)簽約成功后，返回簽約號給商戶（這一個(gè)處理邏輯放在支付渠道側(cè)介紹），銀行會(huì)返回如下結(jié)果：

1. 簽約成功：這意味著可以建立簽約關(guān)系。而簽約關(guān)系在支付系統(tǒng)中則通過虛擬賬戶來表示。
2. 重復(fù)簽約： 按照業(yè)務(wù)考慮是否支持重復(fù)簽約。 一般針對一個(gè)銀行卡僅保留一個(gè)簽約關(guān)系，建立一個(gè)虛擬賬戶。
3. 簽約失敗： 需要提示具體失敗原因。

三、扣款流程

在完成簽約后，支付處理就相對簡單不少。扣款流程如下：

流程要點(diǎn)：

1. 訂單系統(tǒng)生成訂單后，請求支付系統(tǒng)執(zhí)行支付；
2. 支付服務(wù)器生成支付記錄，請求渠道執(zhí)行支付。如果該渠道需要短信支持，請求渠道發(fā)送短信。
3. 服務(wù)器端在生成支付記錄后，請求渠道執(zhí)行支付。對于需要短信驗(yàn)證或者其他身份驗(yàn)證方式的支付行為，還需要首先請求渠道發(fā)送短信，之后讓用戶輸入短信驗(yàn)證碼。之后將訂單、短信驗(yàn)證碼、支付金額送到渠道側(cè)，執(zhí)行支付。

這里需要關(guān)注如下問題：

（1）訂單有效期

用戶必須在訂單有效期內(nèi)完成支付。支付時(shí)，必須為每個(gè)訂單設(shè)置有效期。這個(gè)有效期不能太長，一般不會(huì)超過一天。有效期可以從下單開始算，避免使用相對日期。 在執(zhí)行支付時(shí)，需要驗(yàn)證下訂單是否還在有效期內(nèi)。

（2）同步和異步處理

銀聯(lián)提供的商戶側(cè)開通快捷支付接口，不同步返回最終扣款結(jié)果，而是通過異步通知的方式來返回。 異步通知會(huì)多次調(diào)用回調(diào)接口， 直到調(diào)用成功。 所以，一個(gè)訂單支付成功的通知，有可能會(huì)收到多次回調(diào)。

四、解約流程

解約流程一般是由用戶自己發(fā)起。當(dāng)然，存儲(chǔ)在本地的簽約信息只是被設(shè)置為無效，而不是實(shí)際刪除。 解約時(shí)，還需要注意相關(guān)的訂單是否都已經(jīng)完成。

五、退款流程

沒有平白無故的退款。支付都是由交易調(diào)起的，那退款就都對應(yīng)的由退貨發(fā)起的。

針對已經(jīng)扣款成功的交易執(zhí)行退款：

如果交易還在進(jìn)行中，比如渠道側(cè)還沒有返回結(jié)果，則執(zhí)行退款會(huì)導(dǎo)致狀態(tài)不可預(yù)知。

注意：退款的錢并不一定立即到賬。不同銀行、不同渠道到賬時(shí)間不一樣。

六、接口概述

一般來說，快捷支付需要提供如下接口：

1. 簽約， 也叫“綁卡簽約”、“開通交易”等，指用戶在商戶網(wǎng)站上開通快捷支付的功能，他需要將銀行卡相關(guān)信息提供給電商。
2. 解約， 也叫“解綁卡”， 指用戶取消在該網(wǎng)站上的快捷支付功能。一般也會(huì)刪除該用戶在該網(wǎng)站上的相關(guān)的銀行卡信息。
3. 扣款， 也叫“支付”， 指用戶使用簽約的卡來執(zhí)行一筆扣款。
4. 退款， 針對已經(jīng)扣款成功的交易執(zhí)行退款操作，一般同時(shí)也會(huì)把用戶權(quán)益或者對應(yīng)的訂單撤銷。并不是所有訂單都可以執(zhí)行退款。
5. 查單, 查詢某次交易的處理狀態(tài)。
6. 簽約查詢， 即檢查某個(gè)用戶是否已經(jīng)開通了簽約功能。

七、備份通道

由于快捷支付是常用的一個(gè)通道，其帶來的問題是：如果這個(gè)通道出問題了，應(yīng)該怎么辦？

回顧之前的文章，我們提到過：銀行卡快捷支付不僅僅只有發(fā)卡行的通道，銀聯(lián)、第三方支付也都可以提供銀行卡快捷支付接口。

就發(fā)卡行來說，也不僅僅總行通道，很多發(fā)卡行的各省分行，由于歷史因素，手頭也有通道資源。 這也為我們實(shí)現(xiàn)通道切換提供了可能。 切換支付通道最大的問題是如何解決簽約。

比如用戶原來使用工行快捷支付接口來完成工行借記卡支付，某一天，工行通知接口要維護(hù)，不可用了，這就需要提前把工行接口切到其他備用通道，比如銀聯(lián)接口。當(dāng)然，直接切換是不行的，和銀聯(lián)還沒簽約呢。 那如何處理備用通道？

關(guān)于備用通道的簽約時(shí)間，可以在用戶簽約到主通道時(shí)，同時(shí)簽約到備用通道，這種情況要求備用通道必須是無短信驗(yàn)證的，否則一次簽約發(fā)兩條短信，用戶肯定會(huì)懷疑的。還可以在第一次支付的時(shí)候簽約，這時(shí)候?qū)⒑灱s支付短信一并發(fā)出，避免影響用戶體驗(yàn)。

八、接口實(shí)現(xiàn)

一般來說，快捷支付接口可以通過封裝如下通道接口來實(shí)現(xiàn)：

1. 當(dāng)然，首先是銀行自己提供的快捷支付接口；
2. 銀行的代扣接口；
3. 銀聯(lián)的客戶側(cè)開通Token接口。
4. 第三方支付的代扣接口。

九、安全與合規(guī)

和銀行卡對接，特別是快捷支付接口，有三個(gè)重要的合規(guī)文檔，必須通讀。

1、《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》(中國人民銀行公告〔2015〕第43號公布）

2、中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知, 銀發(fā)〔2016〕170號

• 嚴(yán)禁留存非本機(jī)構(gòu)的支付敏感信息（包括銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等），確有必要留存的應(yīng)取得客戶本人及賬戶管理機(jī)構(gòu)的授權(quán)。
• 各商業(yè)銀行、支付機(jī)構(gòu)應(yīng)在客戶端軟件與服務(wù)器、服務(wù)器與服務(wù)器之間進(jìn)行通道加密和雙向認(rèn)證，對重要信息關(guān)鍵字段進(jìn)行散列或加密存儲(chǔ)，保障信息傳輸、存儲(chǔ)、使用安全。
• 自2016年12月1日起，各商業(yè)銀行、支付機(jī)構(gòu)應(yīng)使用支付標(biāo)記化技術(shù)( Tokenization)，對銀行卡卡號、卡片驗(yàn)證碼、支付機(jī)構(gòu)支付賬戶等信息進(jìn)行脫敏處理，并通過設(shè)置支付標(biāo)記的交易次數(shù)、交易金額、有效期、支付渠道等域控屬性，從源頭控制信息泄露和欺詐交易風(fēng)險(xiǎn)。
• 嚴(yán)格限制使用初始交易密碼并提示客戶及時(shí)修改，建立交易密碼復(fù)雜度系統(tǒng)校驗(yàn)機(jī)制，避免交易密碼過于簡單（如“111111”、“123456”等）或與客戶個(gè)人信息（如出生日期、證件號碼、手機(jī)號碼等）相似度過高。

3、網(wǎng)絡(luò)支付報(bào)文結(jié)構(gòu)及要素技術(shù)規(guī)范(V1.0版), 銀辦發(fā)[2016]222號

#專欄作家#

鳳凰牌老熊，微信公眾號：鳳凰牌老熊，人人都是產(chǎn)品經(jīng)理專欄作家，10多年企業(yè)應(yīng)用和互聯(lián)網(wǎng)軟件架構(gòu)設(shè)計(jì)經(jīng)驗(yàn)，關(guān)注互聯(lián)網(wǎng)金融和大數(shù)據(jù)領(lǐng)域。

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。