بررسی اجمالی
هدف از جریان احراز هویت شناسایی و احراز هویت کاربر به ادغام کننده پرداخت (ادغام کننده) است.
احراز هویت ورودی به روش های دیگر است. به خصوص برای associateAccount
و capture
. این بدان معنی است که اثبات احراز هویت به عنوان ورودی (پارامتر) برای آن دو روش استفاده می شود.
Google همچنین میتواند از جریان احراز هویت در حالت مستقل برای تأیید یک کاربر استفاده کند. در این مورد به عنوان ورودی برای هیچ جریان دیگری استفاده نمی شود، بلکه فقط برای تأیید اینکه کاربر قادر به تأیید هویت است.
به خاطر داشته باشید که وقتی در حال سوار شدن هستید، Google با شما همکاری می کند تا مکانیزم احراز هویت را انتخاب کنید که به بهترین وجه متناسب با محصول شما باشد.
جریان چگونه کار می کند
دو راه برای احراز هویت یک کاربر وجود دارد که هر کدام جریان خاص خود را دارند. در زمان ادغام، یکپارچه ساز باید تعیین کند که از کدام یک استفاده کند.
- تغییر مسیر احراز هویت
- احراز هویت SMS-MT OTP
تغییر مسیر احراز هویت
یک کاربر Google که نیاز به احراز هویت دارد، ممکن است به برنامه ادغامکننده یا وبسایت خود هدایت شود تا هویتش تأیید شود. در اینجا مروری کوتاه بر مراحل این جریان است:
- Google کاربر را به وب ادغامکننده یا برنامه اندروید هدایت میکند تا بتواند احراز هویت شود.
- برای احراز هویت،
requestId
احراز هویت (ازAuthenticationRequest
) به عنوان مدرک احراز هویت استفاده می شود. - این منجر به یک پاسخ امضا شده به نام
AuthenticationResponse
می شود. - پس از آن، برنامه یا وب سایت کاربر را به Google هدایت می کند.
احراز هویت ریدایرکت از یک روش HTTP GET استفاده می کند که پارامترهای آن در URL برای یک برنامه وب کدگذاری شده است. از یک Android Intent برای احراز هویت برنامه اندروید استفاده می کند. برای جزئیات بیشتر در مورد رمزگذاری، به احراز هویت وب و برای پارامترهای هدف Android، احراز هویت Android را ببینید.
نتیجه هر یک از این مکانیسم های احراز هویت یک پاسخ امضا شده به نام AuthenticationResponse
است. این هدف باید شامل پاسخ احراز هویت استاندارد پرداختهای Google رمزگذاریشده و رمزگذاریشده ( gspAuthenticationResponse
) برای برقراری ارتباط با یک احراز هویت موفق باشد. اگر در حالت مستقل استفاده شود، از gspResult
و امضا برای تعیین احراز هویت موفق استفاده می شود.
نمودار توالی زیر تعامل بین مرورگر کاربر، گوگل و برنامه وب ادغام کننده را نشان می دهد:
تغییر مسیر- جریان احراز هویت وب
در اینجا لیستی از اشیاء و آنچه که آنها نشان می دهند آمده است:
- کاربر : این شخصی است که می خواهد یک روش پرداخت را به حساب Google خود اضافه کند.
- Google UI : در این مورد، رابط وب در Google، جایی که مشتری شروع به تنظیم یک روش پرداخت می کند.
- Google Server : سرور پشتیبان در Google که بررسی احراز هویت را همراه با سایر کارهای احراز هویت انجام می دهد.
- Payment Integrator Web : وب سایت یکپارچه ساز که در آن کاربر یک حساب کاربری دارد.
برای این جریان احراز هویت، ما قبلاً فرض میکنیم که کاربر در وبسایت Google (Google UI) است و سعی میکند یک روش پرداخت اضافه کند. اینجاست که همه چیز شروع می شود.
- رابط کاربری Google یک URL احراز هویت ایجاد می کند که به سرور Google (پشتیبان) ارسال می شود. این همان چیزی است که فرآیند احراز هویت را آغاز می کند.
- سرور Google یک درخواست احراز هویت (
AuthenticationRequest
) ایجاد می کند. - درخواست احراز هویت به رابط کاربری Google ارسال شد.
- کاربر این پیام را دریافت می کند که باید شناسه خود را با ادغام کننده احراز هویت کند.
- کاربر پاسخ می دهد که می خواهد احراز هویت کند، که این پیام را به وب سایت ادغام کننده ارسال می کند.
- وبسایت Payment Integrator تأیید هویت کاربر را میخواهد.
- کاربر مدرک هویت خود را ارائه می دهد که به وب سایت Payment Integrator ارسال می شود.
- ادغام کننده یک پاسخ (
authenticationResponse
) به شواهدی که به آنها داده شده است (باauthenticationResponse
کدگذاری شده در پیام) ایجاد می کند. - این آدرس پاسخ برای کاربر ارسال می شود.
- URL پاسخ بلافاصله از کاربر به رابط کاربری Google ارسال می شود.
- رابط کاربری Google پاسخ را به سرور Google ارسال می کند.
- سرور Google پاسخ را به عنوان تأیید شده تفسیر می کند.
نمودار دنباله بعدی تعامل بین تلفن کاربر، گوگل و برنامه اندروید یکپارچه ساز را نشان می دهد:
تغییر مسیر- جریان احراز هویت برنامه اندروید
در اینجا اشیاء و آنچه نشان می دهند آمده است:
- کاربر : این شخصی است که می خواهد یک روش پرداخت را به حساب Google خود اضافه کند.
- رابط کاربری Google : در این مورد، رابط برنامه، جایی که مشتری شروع به تنظیم یک روش پرداخت میکند.
- Google Server : سرور پشتیبان در Google که بررسی احراز هویت را همراه با سایر کارهای احراز هویت انجام می دهد.
- Payment Integrator APK : برنامه یکپارچهساز که در آن کاربر به حساب یکپارچهساز خود دسترسی دارد.
- Payment Integrator Server : سرور پشتیبان یکپارچه ساز که اطلاعات کاربر در آن ذخیره می شود.
از آنجایی که این یک جریان احراز هویت است، ما قبلاً فرض میکنیم که کاربر از یک برنامه (Google UI) استفاده میکند و سعی میکند یک روش پرداخت اضافه کند. اینجاست که مقداردهی اولیه آغاز می شود.
- رابط کاربری Google یک تماس احراز هویت ایجاد می کند که به سرور Google (پشتیبان) ارسال می شود.
- سرور Google یک درخواست احراز هویت ایجاد می کند (
AuthenticationRequest
). - سرور Google یک APK تماس را به UI (برنامه) Google ارسال می کند و درخواست احراز هویت می کند.
- رابط کاربری Google اطلاعات کاربر را به Payment Integrator APK (
AUTHENTICATE_V1(authReq)
) ارسال می کند. - Payment Integrator APK درخواست (
authReq
) را به سرور Payment Integrator ارسال می کند. - سرور Payment Integrator یک چالش را به Payment Integrator APK ارسال می کند.
- Payment Integrator APK چالش را برای کاربر ارسال می کند.
- کاربر مدرکی مبنی بر هویت خود ارائه می دهد که به APK یکپارچه کننده پرداخت ارسال می شود.
- سپس این مدرک به سرور Payment Integrator ارسال می شود.
- سرور یک
authenticationResponse
امضا شده ایجاد می کند. - پاسخ احراز هویت با موفقیت انجام شد و یک پیام
authResp
به Payment Integrator APK ارسال میشود. - پیام موفقیت آمیز (
authResp
) از Payment Integrator APK به رابط کاربری Google ارسال می شود. - رابط کاربری گوگل پاسخ را به سرور گوگل ارسال می کند.
- سرور گوگل پاسخ موفقیت آمیز را تفسیر می کند.
SMS-MT OTP Authentication
یکی دیگر از روش های احراز هویت، سرویس پیام کوتاه، تلفن همراه پایان یافته، رمز عبور یک بار مصرف (SMS-MT OTP) است. این مکانیسم از شماره تلفن کاربر برای ارسال یک رمز عبور یکبار مصرف برای احراز هویت استفاده می کند. Google از یکپارچهساز میخواهد تا یک OTP را به شماره تلفن کاربر ارسال کند و پس از دریافت آن توسط کاربر و سپس وارد کردن آن به رابط Google، کاربر تأیید میشود.
این شامل مراحل زیر است:
- رابط کاربری گوگل (UI) از کاربر می خواهد شماره تلفنی را وارد کند که قبلاً در ادغام کننده ثبت شده است.
- کاربر شماره تلفنی را در رابط کاربری Google وارد می کند.
- گوگل یکپارچه ساز را فعال می کند (روش
sendOtp
را فراخوانی می کند) تا رمز عبور یک بار مصرف (OTP) را برای کاربر ارسال کند. - کاربر پیامک را با OTP دریافت می کند.
- سپس کاربر OTP (که به عنوان ورودی برای
capture
،associateAccount
وverifyOtp
استفاده می شود) را که دریافت کرده است را در رابط Google وارد کرده و کاربر را احراز هویت می کند. این اثبات احراز هویت است.
در حالت مستقل، فقط متد verifyOtp
برای تایید مقدار OTP فراخوانی می شود.
نمودار توالی زیر تعامل بین تلفن کاربر، Google و ادغام کننده هنگام ارسال OTP را نشان می دهد:
جریان احراز هویت تلفن (ارسال OTP).
در اینجا لیستی از اشیاء در نمودار و آنچه نشان می دهند آمده است:
- کاربر : این شخصی است که می خواهد یک روش پرداخت را به حساب Google خود اضافه کند.
- Google UI : در این مورد، یک وبسایت یا برنامه تلفن Google است که در آن مشتری شروع به تنظیم روش پرداخت میکند. توجه: اگر رابط کاربری Google یک برنامه تلفن باشد، چند مرحله اول نادیده گرفته میشود زیرا تلفن از قبل شماره تلفن کاربر را میداند.
- Google Server : سرور پشتیبان در Google که بررسی احراز هویت را همراه با سایر کارهای احراز هویت انجام می دهد.
- Payment Integrator Server : سرور پشتیبان یکپارچه ساز که اطلاعات کاربر در آن ذخیره می شود.
از آنجایی که این یک جریان تأیید اعتبار OTP است، ما قبلاً فرض میکنیم که کاربر در یک برنامه یا وبسایت تلفن Google (Google UI) است و سعی میکند یک روش پرداخت اضافه کند. اینجاست که مقداردهی اولیه آغاز می شود.
- رابط کاربری Google (تلفن یا وبسایت) از کاربر شماره تلفن خود را درخواست میکند.
- کاربر شماره تلفن خود را در رابط کاربری Google وارد می کند.
- رابط کاربری Google شماره (
sendChallenge(phoneNum)
) را به سرور Google ارسال می کند. - سرور Google درخواستی برای ارسال یک رمز عبور یکبار مصرف به سرور ادغام کننده پرداخت (
SendOtp(phoneNum)
می فرستد. - سرور Payment Integrator یک رمز عبور یکبار مصرف (OTP) را برای کاربر ارسال می کند.
- سرور Payment Integrator به درخواست Google در شماره 5 پاسخ می دهد و نشان می دهد که OTP با موفقیت ارسال شده است.
- کاربر این OTP را در رابط کاربری Google (تلفن یا وب سایت) وارد می کند.
- رابط کاربری Google OTP را به سرور Google می فرستد و در نهایت برای تأیید به ادغام کننده پرداخت ارسال می شود. این کار هویت کاربر را تایید می کند و کاربر را احراز هویت می کند.
احراز هویت و احراز هویت مجدد
دو نقطه در زمان وجود دارد که احراز هویت ممکن است رخ دهد:
- احراز هویت اولیه - برای شناسایی و احراز هویت یک کاربر استفاده می شود. احراز هویت اولیه به عنوان ورودی روش
associateAccount
استفاده می شود. - احراز هویت مجدد - در همه زمینههای دیگر، مانند مستقل یا به عنوان ورودی برای
capture
استفاده میشود.
احراز هویت مجدد با احراز هویت اولیه متفاوت است. هرگز تمایلی به شناسایی مجدد یک کاربر، صرفاً برای احراز هویت مجدد ندارد. احراز هویت مجدد توسط Google برای به چالش کشیدن کاربر برای اثبات مالکیت یک حساب خاص استفاده می شود و این به صلاحدید Google اتفاق می افتد.
در این فرآیند یک مرجع به نام associationId
به انجمن اصلی (از جریان انجمن) ارائه می شود. این از طریق فراخوانی متد associateAccount
در طول جریان ارتباط ارائه میشود. associationId
حسابی را که باید با آن به چالش کشیده شود، شناسایی می کند. برای امنیت، کاربر نباید بتواند حساب مورد چالش را تغییر دهد.
برای احراز هویت مجدد SMS-MT OTP، Google شماره تلفن ارائه شده در طول تماس اصلی را برای sendOtp
به عنوان یک شماره ثابت نگه میدارد. این را نمی توان تغییر داد، دوباره برای امنیت.
در اینجا یک جریان نمونه وجود دارد که در آن Google تصمیم میگیرد قبل از خرید، به چالش (احراز هویت مجدد) بپردازد:
جریان احراز هویت مجدد
لیست اشیاء و آنچه که آنها نشان می دهند به شرح زیر است:
- کاربر : این شخصی است که می خواهد خرید کند.
- Google UI : در این مورد، یک وبسایت یا برنامه تلفن Google است که مشتری شروع به خرید میکند.
- UI Payment Integrator : وب سایت یا برنامه ای که مشتری رو به رو است که در آن کاربر می تواند به اطلاعات حساب خود با یکپارچه کننده دسترسی پیدا کند.
- Google Server : سرور پشتیبان در Google که بررسی احراز هویت مجدد را همراه با سایر وظایف انجام می دهد.
- Payment Integrator Server : سرور پشتیبان یکپارچه ساز که اطلاعات کاربر در آن ذخیره می شود.
جریان احراز هویت مجدد زمانی شروع می شود که مشتری شروع به خرید کند. این یک جریان را برای احراز هویت مجدد کاربر آغاز می کند.
- کاربر تصمیم می گیرد یک کالا یا خدمات را خریداری کند.
- درخواست از رابط کاربری گوگل به سرور گوگل ارسال می شود.
- سرور Google یک درخواست احراز هویت (
authenticationRequest
) را به رابط کاربری Google ارسال می کند. - رابط کاربری Google درخواستی را برای احراز هویت کاربر (
associationId
,authenticationRequest
) به واسط Payment Integrator ارسال می کند. - رابط کاربری Payment Integrator کاربر را برای تأیید هویت او جستجو میکند (
LookupIdentity
(associationId
)). - واسط کاربری Payment Integrator از کاربر میخواهد اعتبارنامههای موجود در رابط کاربری خود (وبسایت یا برنامه یکپارچهساز) را دریافت کند.
- پاسخ احراز هویت به سرور Payment Integrator ارسال می شود.
- پاسخ احراز هویت امضا شده (
authenticationResponse
) به واسط کاربری Payment Integrator ارسال میشود. - پاسخ احراز هویت (
authenticationResponse
) از رابط کاربری Payment Integrator به رابط کاربری Google ارسال میشود. - رابط کاربری Google پاسخ را همراه با اطلاعات خرید به سرور Google ارسال می کند.
- سرور Google یک پیام
capture
(برای یافتن وجوه موجود) به سرور یکپارچهساز پرداخت (authenticationRequestId
، GPT، مقدار) ارسال میکند. - سرور ادغام کننده پرداخت پیام موفقیت آمیز را به سرور Google ارسال می کند.
- سرور Google پیام موفقیت را به رابط کاربری Google ارسال می کند.
- رابط کاربری Google مورد(ها) را به مشتری تحویل می دهد (یا به آنها اطلاع می دهد که به زودی تحویل خواهند شد).
احراز هویت SMS-MO
سرویس پیام کوتاه، جریان احراز هویت مبدا تلفن همراه از یک پیامک حاوی یک شناسه درخواست احراز هویت که از تلفن کاربر به یکپارچهسازی پرداخت ارسال میشود برای احراز هویت کاربر استفاده میکند.
در اینجا لیستی از اشیاء در نمودار و آنچه نشان می دهند آمده است:
- کاربر : این شخصی است که می خواهد یک روش پرداخت را به حساب Google خود اضافه کند.
- UI/دستگاه Google : در این مورد، یک برنامه تلفن Google است که در آن مشتری شروع به تنظیم یک روش پرداخت میکند.
- Google Server : سرور Backend در Google که دستورالعمل های SMS را با شناسه درخواست احراز هویت (ARID) تولید می کند و نتیجه احراز هویت را از یکپارچه ساز دریافت می کند.
- سرور یکپارچهساز پرداخت : سرور پشتیبان یکپارچهکننده که پیامک احراز هویت را دریافت میکند و شناسه درخواست احراز هویت را به Google برمیگرداند.
از آنجایی که این یک جریان احراز هویت است، ما قبلاً فرض میکنیم که کاربر از یک برنامه (Google UI) استفاده میکند و سعی میکند یک روش پرداخت اضافه کند. اینجاست که مقداردهی اولیه آغاز می شود.
- کاربر یک ابزار Tokenized را برای افزودن انتخاب می کند.
- رابط کاربری گوگل با سرور گوگل تماس می گیرد تا چالش SMS-MO را آغاز کند.
- سرور Google دستورالعملهای پیامکی را برمیگرداند که شامل یک مقصد و یک بدنه حاوی شناسه درخواست احراز هویت است.
- رابط کاربری Google پیامک را به Payment Integrator ارسال می کند.
- سرور Payment Integrator با شناسه درخواست احراز هویت، نقطه پایانی authenticationResultNotification را در سرور Google فرا می خواند.
- شناسه درخواست احراز هویت توسط سرور Google تأیید می شود که با موفقیت پاسخ می دهد.
- رابط کاربری گوگل با سرور گوگل تماس می گیرد تا نتیجه تلاش احراز هویت را به دست آورد.
- پاسخ سرور Google SUCCESS.
احراز هویت SMS-MO شبیه سازی شده
به منظور انجام تستهای تشخیصی جریان تأیید اعتبار SMS-MO، Google یک نقطه پایانی پیامک شبیهسازی را تعریف میکند. این امر نیاز به ارسال و تایید یک پیامک واقعی را هنگام انجام Test Associations در محیط sandbox حذف می کند.
در اینجا لیستی از اشیاء در نمودار و آنچه نشان می دهند آمده است:
- تستر : این شخصی است که آزمایش تشخیصی ارتباط SMS-MO را آغاز می کند.
- Google UI : یک رابط کاربری Google که در آن آزمایشکننده شروع میکند و وضعیت آزمایش تشخیصی SMS-MO را نظارت میکند.
- Google Server : سرور Backend در Google که دستورالعمل های SMS را با شناسه درخواست احراز هویت (ARID) تولید می کند، پیام SMS شبیه سازی شده را ارسال می کند و نتیجه احراز هویت را از ادغام کننده دریافت می کند.
- Payment Integrator Server : سرور پشتیبان یکپارچه ساز که پیامک احراز هویت شبیه سازی شده را دریافت می کند و شناسه درخواست احراز هویت را به Google برمی گرداند.
مراحل این جریان عبارتند از:
- تستر تست تشخیصی SMS-MO را با ارائه شناسه مشترک آزمایشی (SID) برای استفاده برای آزمایش آغاز می کند. این SID در تماس
simulateSms
با Payment Integrator گنجانده خواهد شد. - رابط کاربری گوگل با سرور گوگل تماس می گیرد تا چالش SMS-MO را آغاز کند.
- سرور Google دستورالعملهای پیامکی را برمیگرداند که شامل یک مقصد و یک بدنه حاوی شناسه درخواست احراز هویت است. برای اهداف این آزمایش، مقصد توسط اتصال HTTPS جعبه ایمنی Payment Integrator لغو میشود.
- رابط کاربری گوگل با سرور گوگل تماس می گیرد تا پیام اس ام اس شبیه سازی شده را ارسال کند.
- تماس
simulateSms
از سرور Google به سرور Payment Integrator انجام می شود. هر دو شناسه درخواست احراز هویت و شناسه مشترک (همانطور که در مرحله 1 ارائه شده است) در تماس API گنجانده شده است. - سرور ادغام کننده پرداخت به تأیید پاسخ می دهد.
- سرور Google به رابط کاربری Google SUCCESS پاسخ می دهد.
- سرور Payment Integrator با شناسه درخواست احراز هویت، نقطه پایانی authenticationResultNotification را در سرور Google فرا می خواند.
- سرور Google با موفقیت پاسخ می دهد.
- رابط کاربری گوگل با سرور گوگل تماس می گیرد تا نتیجه تلاش احراز هویت را به دست آورد.
- پاسخ سرور Google تکمیل شد.
- رابط کاربری Google با سرور گوگل تماس میگیرد تا یک تلاش انجمن را اجرا کند.
- تماس
associateAccount
از سرور Google به سرور Payment Integrator انجام می شود. - سرور ادغام کننده پرداخت با موفقیت پاسخ می دهد.
- سرور Google با موفقیت پاسخ می دهد.
- رابط کاربری Google بهروزرسانی میشود تا به آزمایشکننده نشان دهد که آزمایش تشخیصی SMS-MO با موفقیت انجام شده است.
بهترین شیوه ها و ملاحظات دیگر
انتخاب پلتفرم ها
ارائه یک برنامه تلفن همراه و جریان احراز هویت وب دسکتاپ به ادغام کننده اجازه می دهد تا به بیشترین کاربران دسترسی پیدا کند. گوگل اکیداً توصیه میکند که یکپارچهسازها از برنامه اندروید پشتیبانی کنند، زیرا بهترین تجربه کاربری را ارائه میدهد که منجر به بالاترین نرخ تبدیل میشود. پارامترهای ارسال شده در API های احراز هویت برای وب و برنامه های Android یکسان است.