我比较笨，一直没太明白手机pay具体咋运作，怎么用token保障安全。
有的网站上说的比较含糊，
说每次商家看到的卡信息都不一样，是经过tokenization的，
所以即使商家看到卡信息也没用。
所以我一直以为是手机把卡的关键信息加密，然后每次加密都不同。
后来发现虚拟设备卡号是不加密的，我就以为那么剩下的什么有效期、cvv之类的加密？

刚刚似乎想明白了点，不知道对不对：
实体卡号的确是商家不知道的。
但是与设备绑定的虚拟卡号，商家是完全知道的。
但知道了也没用，因为这个卡号是和这个手机绑定的，所以必须拿到这个手机才能用这个卡号。

这个卡在消费时与银行之间的验证，除了密码外，
还有token，就是令牌，和银行传统的令牌是一个道理，
只不过这时手机就是个产生令牌的东西。
所谓每次交易不一样指的就是每次令牌的号码都不同。

刷磁条的时候也需要令牌号码。
所以即使被复制也没用，因为下次交易时令牌号码就变了。

上面说的卡号和手机绑定，估计也就是靠这个令牌号码绑定吧。

我不懂，传统刷卡时除了向银行传递卡号，还同时传递有效期，cvv之类的信息吧？
那么手机pay传递时，
是不是令牌号码就是对应了传统刷卡传递有效期之类信息的那些位置？
所以要说是加密了那些信息，也可以。
--
FROM 202.98.13.*