问如何安全地实现3d安全支付

EN

正如您在链接的文章中可能已经注意到的，在iframe中显示银行页面是首选选择。虽然如果您进一步阅读，它提供了其他安全功能，特别是在钓鱼保护方面。因为你的当事人不知道他到底在给谁发密码。

但是回到您的提议，如果您将其显示在iframe或弹出窗口中，您将能够将原始表单存储在基本页面上，然后使用接收到的身份验证令牌重新提交它。这是一个非常好的主意，因为您不需要做任何符合PCI的事情。因此，这不仅对您来说更容易，而且是推荐的:)。

使用Sage Pay (我假设其他支付提供者)，您不需要在最后一步再次传递完整的订单信息，只需要来自3D安全表单的响应代码和唯一的事务引用。因此，不需要存储卡的详细信息。

对我来说，这个过程是：

1. 卡的详细信息等和独特的交易参考提交到支付网关。
2. 支付网关响应3D安全细节(ACSURL和参考代码)。
3. 将用户重定向到3D安全表单(传递参考代码和回调URL)，输入详细信息。
4. 验证代码传递回回调URL。
5. 服务器必须从步骤1向支付网关发送验证代码和相同的事务引用。
6. 付款网关响应成功/失败信息。

我最近做了一些3d安全方面的工作。根据我个人的经验：

1. 我将信用卡信息与一个转发网址传递给银行的3d安全网址。
2. 用户被重定向到3d安全url，并提示输入他的密码。
3. 当他单击“继续”时，用户将使用授权令牌传递给前向url --信用卡信息也会被传递。