Security 如何安全实施三维安全支付

我想知道接受需要验证的信用卡付款的最佳方式是什么。当前签出流程如下所示：

客户提交付款

支付网关返回一个错误，指出该卡需要三维安全代码处理。返回响应中的ACS URL

我将用户重定向到发卡行的验证站点，并在验证完成后为ACS传递一个回调URL以重定向

客户输入验证码，ACS重定向到回调URL，并带有一个表示验证成功的授权令牌

要完成此过程，我必须使用授权令牌向支付网关重新提交原始请求

我的问题在最后一步。由于我需要重新提交原始请求（其中包含客户的信用卡信息），我需要将其临时存储在某个位置，以便在调用回调URL时检索它。还有别的办法吗

我正在考虑尝试iframe解决方案：原始表单永远不会关闭，我会在iframe中显示验证过程。当流程完成时，即调用回调url时，我隐藏iframe并使用所需的值更新原始表单，然后重新提交。以前有人尝试过这种技术吗

---

---

正如您在链接的文章中可能已经注意到的，在iframe中呈现银行页面是首选选项。虽然如果您进一步阅读，它还提供了其他安全功能，特别是在钓鱼保护方面。因为你的客户不知道他到底在给谁发送密码

---

但是回到您的提议，如果您在iframe或弹出窗口中显示它，您将能够在您的基本页上存储原始表单，然后使用收到的身份验证令牌重新提交它。这是一个非常好的主意，因为您不需要做任何符合PCI的事情。因此，不仅对您来说更容易，还建议：）。

我最近在3d安全方面做了一些工作。根据我个人的经验：

我将带有转发url的信用卡信息传递给银行 3d安全url

用户将被重定向到3d安全url，并提示输入密码

当他单击continue时，用户将被传递到带有授权令牌的转发url——信用卡信息也会被传递

使用Sage Pay（我假设其他支付提供商），您不需要在最后一步再次传递完整的订单信息，只需要3D安全表单中的响应代码和唯一的交易参考。因此，不需要存储卡的详细信息

对我来说，这个过程是：

提交至支付网关的卡详细信息等和唯一交易参考

支付网关响应3D安全详细信息（ACSURL和参考代码）

将用户重定向到3D安全表单（传递ref代码和回调URL），用户在其中输入详细信息

传递回回调URL的验证代码

服务器必须从步骤1向支付网关发送验证代码和相同的交易参考

支付网关以成功/失败信息进行响应

---

如何在移动域中设置回拨url？单击“继续3d安全转发”以回调url。那么，如何设置呼叫android编程的回拨url。我希望Paybox也一样。我们需要在授权调用中再次传递完整的卡详细信息。@barrington我无法理解客户端处理的是什么，服务器处理的是什么。在您的示例中，回调是指向客户端还是服务器的URL？是否有可能让银行回复客户，或者这不是一个好主意？