4. Applepay 详解

Applepay其实，我们在上一篇文章说过，其实就是一种电子钱包+3DS组合而成，那我们分解这2个过程来剖析Applepay。

谣言：

我们先来扫盲一下，其实国内大部分小伙伴都很熟悉微信支付宝，交易过程大概是这样，调用微信支付宝，然后他们返回给我们成功，这笔交易就完成，类似如下时序图：

其实，applepay不是这种时序图！！

Applepay交易时序图

Note：这种是最原始的applepay交易时序图，可能有很多第三方SDK封装了很多层，会把中间的很多流程给封装一次，让时序看起来不是这个样子。

用文字来表述这个步骤：

1. App调用Applepay SDK获取信用卡数据
2. IOS系统会获取绑定在手机上的信用卡token数据，并且采用非对称加密（国内使用RSA加密，海外使用ECC加密），用公钥对卡信息进行加密，并且返回给App
3. App调用后台api，发起交易请求，附带加密后的信用卡数据
4. 后台收到加密后的卡数据后，会用后台保存的私钥对卡数据进行解密，获取到原始的token卡号（有一些收单机构为了简化整个接入过程，允许让商户后台上传密文的数据，但是这样灵活度不高，而且你的RSA加解密证书他们被绑架了，适合于开发能力比较弱的公司接入）
5. 发送到银行进行交易（这里的银行指的是支付机构，可能是各种收单机构）
6. 返回给App实际的支付结果

整个解密过程，直接参考apple 官网的文档：Applepay解密过程， 我如果后面如果有时间会把这套代码整理分享出来。

所以，从这里可以看得出来，其实，applepay实际没有参与真正的交易过程，它只是一个信用卡加密过程。Googlepay，HuaweiPay……其实都是一样，只是加密方式稍微有点点不一样，就不一一单独介绍了。

 

下面来剖析为何applepay = 电子钱包+3DS

电子钱包

从上面的过程，我们可以发现，其实applepay就是对信用卡数据的一个加密过程，而这个信用卡数据，就是token数据，属于电子钱包

3DS

这里会有个疑问了，既然商户app可以获取到token，并且交易，那就毫无安全感可言了。因为做app的商户，在解析完卡信息后，直接保存起来，下次交易就不用applepay就完了，或者说商户系统泄露了这个token信息，那不就危险了吗？

解决问题：上面提到过商户后台解析applepay加密数据，解析后的数据包含卡号+3DS加密认证信息(onlinePaymentCryptogram)：

这个onlinePaymentCryptogram，每次交易都会产生不同的结果，这个数据是一次性的，用完不能再用。只有银行才能对这个数据进行验证，这也就解决了applepay被盗刷的问题。

每次使用Applepay，会要求用户采用指纹，或者密码，或者人脸  来做用户认证，确保是本人操作，这个过程其实就是3DS的认证过程。

3DS分为2个版本，3DS1.0和3DS2.0。 applepay其实就是3DS2.0的里面叫做3DS SDK的一个组件。至于3DS的细节，我们用单独的篇章来讲解。

 

Applepay的优势

其实，很久很久之前，就有很多小伙伴会讨论applepay相对于国内码付是一种很low的方式。其实不然。

仔细的小伙伴会发现，其实，applepay整个过程，其实没有碰到钱。这也是applepay最大最大的一个优势，不碰钱，那就不存在被国家封杀的概念，因为只是提供了一种更便捷的信用卡用卡方式而已，并没有动到国家的大蛋糕，该谁赚的钱还是由谁继续赚。经常出海的小伙子估计在全世界都能见到applepay的身影，但是很少能见到Alipay，wechatpay。

而且applepay还兼容了世界上使用了几十年的信用卡体系。改变世界的同时，不需要产生巨大的代价。

当然，微信支付宝也有他们的优势使用简便。

这里我们只讨论applepay的特性和优势，不讨论敏感的谁比谁厉害话题:)