看了好多人的说法,真是...
我也不是内行做的人,只是用户通过使用过程中,观察出来的我的看法。
首先是用户、商户和银行。用户是付款方,商户(比如支付宝,这里定义的为商户)是收款方,银行是用户的资金保管方。
当用户需要向商户付款的时候,用户说我的钱在银行那里保管,你去那里取吧;商户找到银行说,我要取某某多少钱,银行说你老几啊?你是有本人授权吗?
所谓快捷支付,其实就是一个授权过程。看看之前那个三方支付管理征集草案就很明白。如果每一次支付都要完整重复一遍授权过程的话,很烦也没必要,所以其实快捷支付真正的授权验证是一个东西:协议。
比如,招行就可以客户自己管理各种支付协议,你通过支付宝签订一个快捷支付协议,然后在招行专业版就能看到这个协议。你可以单方要求银行解除这个三方协议,这样支付宝还以为协议存在(你去支付宝仍是绑卡,可输入支付密码发起扣款请求),但是实际银行已经不会认可它的扣款请求了。
上面举例说明了这个协议。其实就是用户和商户、银行签订三方协议,授权商户直接从你的银行扣款!通过快捷支付协议,银行实际认定商户是你的授权机构。
(1)在首次快捷支付时。你向商家提供必要的信息,然后商家向银行提交信息,银行通过这些信息验证是哪个账户以及你是否是该帐户本人,验证通过则三方签订协议,达成快捷支付协议:商户是用户的授权机构,我已经将商户认定为经我本人授权认证可以从我的帐户直接扣款的组织,银行你就放心给它吧。
所以这里根据我的经验,不同银行需求的"必要信息"还有一些差异,这其实在征求意见稿里有讲到。此外,不同银行、不同商户,他们之间达成的协议都有不同。比如同一个商户,有的银行是保守型,验证是否本人时发起的短信验证,是通过自身发送短信。形象点:商户说有这么一个人要扣款,银行就会自己回头来问客户,你是不是要认证它扣款。有的银行是信任型(可能商户资质好或者银行与之有风险协议),短信都是商户自己发的。换言之,判断是否本人,下放给了商户。形象点:你向商户提交扣款,商户把你的信息提交给银行问,是不是这个人,信息是不是对;银行说,是,信息都对得上,你自己再看看是否确实是该信息指明的那个他本人授权;于是商户转身过来,往你提交扣款信息的那个预留号码发短信,如果你通过短信验证(说明你确实是该帐户持有人,没有盗用信息),于是回头跟银行说,对的,我往他预留手机号发了条短信,他答对了,应该确实是本人;银行说ok,协议达成。
--
FROM 221.221.245.*