看了好多人的说法，真是...


我也不是内行做的人，只是用户通过使用过程中，观察出来的我的看法。

首先是用户、商户和银行。用户是付款方，商户（比如支付宝，这里定义的为商户）是收款方，银行是用户的资金保管方。

当用户需要向商户付款的时候，用户说我的钱在银行那里保管，你去那里取吧；商户找到银行说，我要取某某多少钱，银行说你老几啊？你是有本人授权吗？

所谓快捷支付，其实就是一个授权过程。看看之前那个三方支付管理征集草案就很明白。如果每一次支付都要完整重复一遍授权过程的话，很烦也没必要，所以其实快捷支付真正的授权验证是一个东西：协议。

比如，招行就可以客户自己管理各种支付协议，你通过支付宝签订一个快捷支付协议，然后在招行专业版就能看到这个协议。你可以单方要求银行解除这个三方协议，这样支付宝还以为协议存在（你去支付宝仍是绑卡，可输入支付密码发起扣款请求），但是实际银行已经不会认可它的扣款请求了。

上面举例说明了这个协议。其实就是用户和商户、银行签订三方协议，授权商户直接从你的银行扣款！通过快捷支付协议，银行实际认定商户是你的授权机构。

（1）在首次快捷支付时。你向商家提供必要的信息，然后商家向银行提交信息，银行通过这些信息验证是哪个账户以及你是否是该帐户本人，验证通过则三方签订协议，达成快捷支付协议：商户是用户的授权机构，我已经将商户认定为经我本人授权认证可以从我的帐户直接扣款的组织，银行你就放心给它吧。
所以这里根据我的经验，不同银行需求的＂必要信息＂还有一些差异，这其实在征求意见稿里有讲到。此外，不同银行、不同商户，他们之间达成的协议都有不同。比如同一个商户，有的银行是保守型，验证是否本人时发起的短信验证，是通过自身发送短信。形象点：商户说有这么一个人要扣款，银行就会自己回头来问客户，你是不是要认证它扣款。有的银行是信任型（可能商户资质好或者银行与之有风险协议），短信都是商户自己发的。换言之，判断是否本人，下放给了商户。形象点：你向商户提交扣款，商户把你的信息提交给银行问，是不是这个人，信息是不是对；银行说，是，信息都对得上，你自己再看看是否确实是该信息指明的那个他本人授权；于是商户转身过来，往你提交扣款信息的那个预留号码发短信，如果你通过短信验证（说明你确实是该帐户持有人，没有盗用信息），于是回头跟银行说，对的，我往他预留手机号发了条短信，他答对了，应该确实是本人；银行说ok，协议达成。
--
FROM 221.221.245.*

所以，举个例子。当你用某张银行卡和支付宝签了快捷后，你将该银行卡的预留手机变更，原快捷支付同样能用；你将该卡号注销，换新卡号，只要银行有新旧帐户承接功能的比如招行，原快捷支付一样能用。

另外说，很多资质好的商户和银行都签了授权信任比较高的协议。比如支付宝，你用a卡签了快捷，解绑a卡；然后更改预留手机号，再用老预留号再绑a卡，发现也能绑。为啥？我的猜测是支付宝实际并没有在你解绑注销快捷的时候，去和银行注销快捷协议，所以当你再次邦卡的时候，支付宝只需要验证是你本人提出的再次帮卡请求即可（通过它知道的这张卡的主人的手机号，就是老预留，因为它去银行那验证过了前一次）。
--
FROM 221.221.245.*

确实
【 在 CCAV 的大作中提到: 】
: 卡号都不是必要的，存卡号和传卡号都有风险。
: 支付的时候，支付宝只需要对银行说，根据你、我、用户当初签约的协议号12345678，给我扣50，就行了。银行自然知道12345678的含义是什么。
:
--
FROM 221.221.245.*

嗯，所以反倒是快捷支付相对安全一些，有具体协议流程约束保障了一定的安全性  
  
【 在 pyer () 的大作中提到: 】
: 携程只是一个商户不是第三方支付，所以你用第三方支付的快捷支付流程来衡量它是不准确的，商户估计是每次交易都要重新提交那么多信息
:
: 【 在 tysy1230 的大作中提到: 】
--
FROM 221.216.37.*