ขั้นตอนการตรวจสอบสิทธิ์ของผู้ใช้

ภาพรวม

วัตถุประสงค์ของขั้นตอนการตรวจสอบสิทธิ์คือการระบุและตรวจสอบสิทธิ์ผู้ใช้กับผู้รวมการชำระเงิน (ผู้รวมบริการ)

การตรวจสอบสิทธิ์คือการป้อนข้อมูลไปยังวิธีการอื่นๆ โดยเฉพาะอย่างยิ่งสำหรับ associateAccount และ capture ซึ่งหมายความว่าจะมีการใช้หลักฐานการตรวจสอบสิทธิ์เป็นอินพุต (พารามิเตอร์) สำหรับ 2 วิธีการนั้น

นอกจากนี้ Google ยังใช้ขั้นตอนการตรวจสอบสิทธิ์ในโหมดสแตนด์อโลนเพื่อยืนยันผู้ใช้ได้ด้วย ในกรณีนี้ ไม่ได้ใช้เป็นอินพุตสำหรับโฟลว์อื่น แต่จะใช้เพื่อยืนยันว่าผู้ใช้ตรวจสอบสิทธิ์ข้อมูลประจำตัวนี้ได้เท่านั้น

โปรดทราบว่าเมื่อคุณเริ่มต้นใช้งาน Google จะทำงานร่วมกับคุณเพื่อเลือกกลไกการตรวจสอบสิทธิ์ที่เหมาะกับผลิตภัณฑ์ของคุณมากที่สุด

วิธีการทำงานของโฟลว์

การตรวจสอบสิทธิ์ผู้ใช้มี 2 วิธี ซึ่งแต่ละวิธีมีขั้นตอนของตนเอง ในขณะผสานรวม ผู้รวมระบบต้องตัดสินใจว่าจะใช้รายการใด

  1. การตรวจสอบสิทธิ์เพื่อเปลี่ยนเส้นทาง
  2. การตรวจสอบสิทธิ์ OTP ผ่าน SMS-MT

การตรวจสอบสิทธิ์เพื่อเปลี่ยนเส้นทาง

ระบบอาจเปลี่ยนเส้นทางผู้ใช้ Google ที่ต้องมีการตรวจสอบสิทธิ์ไปยังแอปหรือเว็บไซต์ของผู้ผสานรวมเพื่อยืนยันตัวตน ภาพรวมคร่าวๆ ของขั้นตอนในขั้นตอนนี้มีดังนี้

  1. Google จะเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บหรือแอป Android ของผู้ผสานรวมที่ตรวจสอบสิทธิ์ได้
  2. ในการตรวจสอบสิทธิ์ ระบบจะใช้การตรวจสอบสิทธิ์ requestId (จาก AuthenticationRequest) เป็นหลักฐานการตรวจสอบสิทธิ์
  3. ซึ่งส่งผลให้เกิดการตอบกลับที่มีการลงนาม ซึ่งเรียกว่าAuthenticationResponse
  4. หลังจากนั้น แอปหรือเว็บไซต์จะเปลี่ยนเส้นทางผู้ใช้กลับไปยัง Google

การตรวจสอบสิทธิ์การเปลี่ยนเส้นทางใช้เมธอด HTTP GET ที่มีพารามิเตอร์ที่เข้ารหัสใน URL สำหรับเว็บแอปพลิเคชัน ซึ่งใช้ Android Intent สำหรับการตรวจสอบสิทธิ์แอปพลิเคชัน Android ดูรายละเอียดเพิ่มเติมเกี่ยวกับการเข้ารหัสได้ที่การตรวจสอบสิทธิ์ผ่านเว็บ และพารามิเตอร์ Intent ของ Android ที่การตรวจสอบสิทธิ์ของ Android

ผลจากกลไกการตรวจสอบสิทธิ์แต่ละรายการเหล่านี้คือการตอบกลับที่ลงชื่อแล้วที่เรียกว่า AuthenticationResponse ซึ่ง Intent นี้ควรมีการตอบกลับการตรวจสอบสิทธิ์การชำระเงินแบบมาตรฐานของ Google ที่เข้ารหัสและเข้ารหัส (gspAuthenticationResponse) เพื่อแจ้งการตรวจสอบสิทธิ์ที่สำเร็จ หากใช้งานในโหมดสแตนด์อโลน ระบบจะใช้ gspResult และลายเซ็นเพื่อระบุว่าการตรวจสอบสิทธิ์สําเร็จ

แผนภาพลำดับต่อไปนี้แสดงการโต้ตอบระหว่างเบราว์เซอร์ของผู้ใช้, Google และเว็บแอปพลิเคชันของผู้ผสานรวม

ขั้นตอนการตรวจสอบสิทธิ์การเปลี่ยนเส้นทางผ่านเว็บ

ขั้นตอนการตรวจสอบสิทธิ์ผ่านเว็บ

ต่อไปนี้คือรายการวัตถุและความหมายของวัตถุเหล่านั้น

  • ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
  • UI ของ Google: ในกรณีนี้คืออินเทอร์เฟซเว็บของ Google ที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน
  • เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำหน้าที่ตรวจสอบการตรวจสอบสิทธิ์ พร้อมกับงานการตรวจสอบสิทธิ์อื่นๆ
  • เว็บของผู้รวมการชำระเงิน: เว็บไซต์ของผู้รวมบริการที่ผู้ใช้มีบัญชี

เราถือว่าผู้ใช้อยู่ในเว็บไซต์ของ Google (UI ของ Google) และกำลังพยายามเพิ่มวิธีการชำระเงินในขั้นตอนการตรวจสอบสิทธิ์นี้ นี่คือจุดเริ่มต้นของทุกสิ่ง

  1. UI ของ Google สร้าง URL การตรวจสอบสิทธิ์ซึ่งส่งไปยังเซิร์ฟเวอร์ของ Google (แบ็กเอนด์) ซึ่งเป็นสิ่งที่ทริกเกอร์กระบวนการตรวจสอบสิทธิ์
  2. เซิร์ฟเวอร์ของ Google สร้างคำขอการตรวจสอบสิทธิ์ (AuthenticationRequest)
  3. คำขอการตรวจสอบสิทธิ์ที่ส่งไปยัง UI ของ Google
  4. ผู้ใช้จะได้รับข้อความแจ้งว่าต้องตรวจสอบสิทธิ์ ID ของตนกับผู้ผสานรวม
  5. ผู้ใช้ตอบว่าต้องการตรวจสอบสิทธิ์ ซึ่งจะส่งข้อความนั้นไปยังเว็บไซต์ของผู้ผสานรวม
  6. เว็บไซต์ของผู้รวมการชำระเงินจะขอให้ยืนยันตัวตนของผู้ใช้
  7. ผู้ใช้แสดงหลักฐานยืนยันตัวตน ซึ่งจะส่งไปยังเว็บไซต์ของผู้รวมการชำระเงิน
  8. ผู้ผสานรวมจะสร้างคำตอบ (authenticationResponse) ต่อหลักฐานที่ได้รับ (โดยเข้ารหัส authenticationResponse ในข้อความ)
  9. ระบบจะส่ง URL การตอบสนองนี้ไปยังผู้ใช้
  10. URL การตอบสนองจะส่งจากผู้ใช้ไปยัง UI ของ Google ทันที
  11. UI ของ Google จะส่งการตอบสนองไปยังเซิร์ฟเวอร์ Google
  12. เซิร์ฟเวอร์ของ Google จะตีความการตอบกลับว่ายืนยันแล้ว

แผนภาพลำดับถัดไปแสดงการโต้ตอบระหว่างโทรศัพท์ของผู้ใช้, Google และแอปพลิเคชัน Android ของผู้ผสานการทำงาน ดังนี้

เปลี่ยนเส้นทาง-ขั้นตอนการตรวจสอบสิทธิ์แอป Android

ขั้นตอนการตรวจสอบสิทธิ์แอป Android

วัตถุและความหมายของวัตถุมีดังนี้

  • ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
  • UI ของ Google: ในกรณีนี้คืออินเทอร์เฟซของแอปที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน
  • เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำหน้าที่ตรวจสอบการตรวจสอบสิทธิ์ พร้อมกับงานการตรวจสอบสิทธิ์อื่นๆ
  • APK ของผู้รวมการชำระเงิน: แอปของผู้ผสานรวมที่ผู้ใช้มีสิทธิ์เข้าถึงบัญชีผู้รวมบริการของตน
  • เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่จัดเก็บข้อมูลของผู้ใช้

เนื่องจากนี่เป็นขั้นตอนการตรวจสอบสิทธิ์ เราจึงสันนิษฐานว่าผู้ใช้ใช้แอป (Google UI) และกำลังพยายามเพิ่มวิธีการชำระเงิน นี่คือจุดเริ่มต้น

  1. UI ของ Google สร้างการเรียกการตรวจสอบสิทธิ์ซึ่งส่งไปยังเซิร์ฟเวอร์ของ Google (แบ็กเอนด์)
  2. เซิร์ฟเวอร์ของ Google จะสร้างคำขอการตรวจสอบสิทธิ์ (AuthenticationRequest)
  3. เซิร์ฟเวอร์ Google จะส่ง APK การโทรไปยัง Google UI (แอป) เพื่อขอการตรวจสอบสิทธิ์
  4. UI ของ Google จะส่งข้อมูลผู้ใช้ไปยัง APK ของผู้รวมการชำระเงิน (AUTHENTICATE_V1(authReq))
  5. APK ของผู้รวมการชำระเงินจะส่งคำขอ (authReq) ไปยังเซิร์ฟเวอร์ของผู้รวมการชำระเงิน
  6. เซิร์ฟเวอร์ผู้รวมการชำระเงินส่งคำขอกลับไปยัง APK ของผู้รวมการชำระเงิน
  7. APK ผู้รวมการชำระเงินส่งภารกิจกลับไปให้ผู้ใช้
  8. ผู้ใช้แสดงหลักฐานยืนยันตัวตน ซึ่งจะส่งไปยัง APK ของผู้ผสานการชำระเงิน
  9. จากนั้นระบบจะส่งหลักฐานนี้ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน
  10. เซิร์ฟเวอร์จะสร้าง authenticationResponse ที่มีการลงชื่อ
  11. ตอบกลับการตรวจสอบสิทธิ์เรียบร้อยแล้วและระบบจะส่งข้อความ authResp ไปยัง APK ของผู้ผสานการชำระเงิน
  12. APK ของผู้รวมการชำระเงินจะส่งไปยัง UI ของ Google ข้อความดำเนินการสำเร็จ (authResp)
  13. UI ของ Google จะส่งการตอบกลับไปยังเซิร์ฟเวอร์ Google
  14. เซิร์ฟเวอร์ของ Google จะตีความการตอบกลับที่สำเร็จ

การตรวจสอบสิทธิ์ OTP ผ่าน SMS-MT

วิธีการตรวจสอบสิทธิ์อีกวิธีหนึ่งคือ บริการข้อความสั้น สิ้นสุดการใช้งานบนอุปกรณ์เคลื่อนที่ รหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (SMS-MT OTP) โดยกลไกนี้จะใช้หมายเลขโทรศัพท์ของผู้ใช้ในการส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียวสำหรับการตรวจสอบสิทธิ์ Google ขอให้ผู้รวมบริการส่ง OTP ไปยังหมายเลขโทรศัพท์ของผู้ใช้ และหลังจากที่ผู้ใช้ได้รับแล้วจึงป้อนข้อมูลนี้ในอินเทอร์เฟซของ Google ผู้ใช้จะได้รับการยืนยัน

ซึ่งประกอบด้วยขั้นตอนต่อไปนี้

  1. อินเทอร์เฟซผู้ใช้ (UI) ของ Google จะแจ้งให้ผู้ใช้ป้อนหมายเลขโทรศัพท์ซึ่งลงทะเบียนกับผู้ผสานการทำงานระบบแล้ว
  2. ผู้ใช้ป้อนหมายเลขโทรศัพท์ใน UI ของ Google
  3. Google จะทริกเกอร์ผู้ผสานการทำงาน (เรียกเมธอด sendOtp) เพื่อส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (OTP) ให้กับผู้ใช้
  4. ผู้ใช้จะได้รับข้อความ SMS ที่มี OTP
  5. จากนั้นผู้ใช้จึงป้อน OTP (ใช้เป็นอินพุตสำหรับ capture, associateAccount และ verifyOtp) ที่ได้รับลงในอินเทอร์เฟซของ Google เพื่อตรวจสอบสิทธิ์ผู้ใช้ นี่คือหลักฐานการตรวจสอบสิทธิ์

ในโหมดสแตนด์อโลน ระบบจะเรียกใช้เฉพาะเมธอด verifyOtp เพื่อยืนยันค่า OTP

แผนภาพลำดับต่อไปนี้แสดงการโต้ตอบระหว่างโทรศัพท์ของผู้ใช้, Google และผู้รวมระบบเมื่อส่ง OTP

ขั้นตอนการตรวจสอบสิทธิ์ทางโทรศัพท์ (การส่ง OTP)

ขั้นตอนการตรวจสอบสิทธิ์ทางโทรศัพท์ (OTP)

รายการวัตถุในแผนภาพและความหมายของวัตถุเหล่านั้นมีดังนี้

  • ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
  • UI ของ Google: ในกรณีนี้คือเว็บไซต์หรือแอปโทรศัพท์ของ Google ที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน หมายเหตุ: ถ้า UI ของ Google เป็นแอปโทรศัพท์ ระบบจะข้าม 2 ขั้นตอนแรกเนื่องจากโทรศัพท์รู้หมายเลขโทรศัพท์ของผู้ใช้อยู่แล้ว
  • เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำหน้าที่ตรวจสอบการตรวจสอบสิทธิ์ พร้อมกับงานการตรวจสอบสิทธิ์อื่นๆ
  • เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่จัดเก็บข้อมูลของผู้ใช้

เนื่องจากนี่เป็นขั้นตอนการตรวจสอบสิทธิ์ OTP เราถือว่าผู้ใช้อยู่ในแอปหรือเว็บไซต์โทรศัพท์ของ Google (Google UI) และกำลังพยายามเพิ่มวิธีการชำระเงิน นี่คือจุดเริ่มต้น

  1. UI ของ Google (โทรศัพท์หรือเว็บไซต์) จะแจ้งให้ผู้ใช้กรอกหมายเลขโทรศัพท์
  2. ผู้ใช้ป้อนหมายเลขโทรศัพท์ลงใน UI ของ Google
  3. UI ของ Google จะส่งหมายเลข (sendChallenge(phoneNum)) ไปยังเซิร์ฟเวอร์ Google
  4. เซิร์ฟเวอร์ของ Google จะส่งคำขอไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน (SendOtp(phoneNum)) เพื่อส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว
  5. เซิร์ฟเวอร์ผู้รวมการชำระเงินจะส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (OTP) ให้ผู้ใช้
  6. เซิร์ฟเวอร์ผู้รวมการชำระเงินตอบรับคำขอของ Google ในข้อที่ 5 ซึ่งเป็นสัญญาณว่าได้ส่ง OTP เรียบร้อยแล้ว
  7. ผู้ใช้ป้อน OTP นี้ลงใน UI ของ Google (โทรศัพท์หรือเว็บไซต์)
  8. UI ของ Google จะส่ง OTP ไปยังเซิร์ฟเวอร์ Google ซึ่งจะส่งไปยังผู้รวมการชำระเงินเพื่อยืนยันในที่สุด วิธีนี้จะยืนยันตัวตนของผู้ใช้และตรวจสอบสิทธิ์ผู้ใช้

การตรวจสอบสิทธิ์และการตรวจสอบสิทธิ์อีกครั้ง

การตรวจสอบสิทธิ์สามารถเกิดขึ้นได้ด้วยเวลา 2 จุด ได้แก่

  1. การตรวจสอบสิทธิ์ขั้นต้น ใช้เพื่อระบุและตรวจสอบสิทธิ์ผู้ใช้ การตรวจสอบสิทธิ์เริ่มต้นจะใช้เป็นอินพุตไปยังเมธอด associateAccount
  2. การตรวจสอบสิทธิ์อีกครั้ง - ใช้ในบริบทอื่นๆ ทั้งหมด เช่น แบบสแตนด์อโลนหรือเป็นอินพุตของ capture

การตรวจสอบสิทธิ์ซ้ำแตกต่างจากการตรวจสอบสิทธิ์เริ่มต้น แอปไม่ได้ต้องการระบุตัวผู้ใช้อีก แค่ตรวจสอบสิทธิ์ใหม่เท่านั้น Google ใช้การตรวจสอบสิทธิ์ซ้ำเพื่อคัดค้านผู้ใช้ในการพิสูจน์ว่าเป็นเจ้าของบัญชีหนึ่งๆ และการดำเนินการนี้จะขึ้นอยู่กับการพิจารณาตามที่เห็นสมควรของ Google

ในขั้นตอนนี้ จะมีการให้ข้อมูลอ้างอิงที่เรียกว่า associationId กับการเชื่อมโยงเดิม (จากขั้นตอนการเชื่อมโยง) ซึ่งได้มาจากการเรียกเมธอด associateAccount ในระหว่างขั้นตอนการเชื่อมโยง associationId ระบุบัญชีที่จะโต้แย้ง เพื่อความปลอดภัย ผู้ใช้ต้องไม่สามารถเปลี่ยนบัญชีที่ส่งคำขอได้

สำหรับการตรวจสอบสิทธิ์ด้วย SMS-MT OTP อีกครั้ง Google จะเก็บหมายเลขโทรศัพท์ที่ให้ไว้ในระหว่างการโทรครั้งแรกไปยัง sendOtp เป็นหมายเลขคงที่ ไม่สามารถเปลี่ยนแปลงได้อีก เพื่อความปลอดภัย

ต่อไปนี้คือตัวอย่างของขั้นตอนที่ Google ตัดสินใจที่จะทดสอบ (ตรวจสอบสิทธิ์อีกครั้ง) ก่อนทำการซื้อ

ขั้นตอนการตรวจสอบสิทธิ์อีกครั้ง

ขั้นตอนการตรวจสอบสิทธิ์อีกครั้ง

รายการวัตถุและวัตถุแทนมีดังนี้

  • ผู้ใช้: คือผู้ที่ต้องการซื้อ
  • UI ของ Google: ในกรณีนี้คือเว็บไซต์หรือแอปโทรศัพท์ของ Google ที่ลูกค้าเริ่มทำการซื้อ
  • UI โปรแกรมรวมการชำระเงิน: เว็บไซต์หรือแอปที่แสดงต่อลูกค้า ซึ่งผู้ใช้สามารถเข้าถึงข้อมูลบัญชีด้วยเครื่องมือรวมได้
  • เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำการตรวจสอบการตรวจสอบสิทธิ์อีกครั้ง พร้อมกับงานอื่นๆ
  • เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่จัดเก็บข้อมูลของผู้ใช้

ขั้นตอนการตรวจสอบสิทธิ์อีกครั้งจะเริ่มต้นเมื่อลูกค้าเริ่มทำการซื้อ การดำเนินการนี้จะเริ่มต้นขั้นตอนการตรวจสอบสิทธิ์ผู้ใช้อีกครั้ง

  1. ผู้ใช้ตัดสินใจซื้อสินค้าหรือบริการ
  2. คำขอจะส่งจาก UI ของ Google ไปยังเซิร์ฟเวอร์ของ Google
  3. เซิร์ฟเวอร์ของ Google จะส่งคำขอการตรวจสอบสิทธิ์ (authenticationRequest) กลับไปยัง Google UI
  4. UI ของ Google จะส่งคำขอไปยัง UI ผู้รวมการชำระเงินเพื่อตรวจสอบสิทธิ์ (associationId, authenticationRequest) ผู้ใช้
  5. UI ผู้รวมการชำระเงินจะค้นหาผู้ใช้เพื่อยืนยันตัวตน (LookupIdentity(associationId))
  6. UI ของผู้ผสานรวมการชำระเงินจะแจ้งให้ผู้ใช้ระบุข้อมูลเข้าสู่ระบบใน UI (เว็บไซต์หรือแอปของผู้ผสานรวม)
  7. การตอบกลับการตรวจสอบสิทธิ์จะส่งไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน
  8. การตอบกลับการตรวจสอบสิทธิ์ที่ลงนามแล้ว (authenticationResponse) จะส่งกลับไปยัง UI ของผู้ชำระเงิน
  9. การตอบกลับการตรวจสอบสิทธิ์ (authenticationResponse) จะส่งจาก UI ผู้รวมการชำระเงินไปยัง UI ของ Google
  10. UI ของ Google จะส่งการตอบกลับพร้อมข้อมูลการซื้อไปยังเซิร์ฟเวอร์ Google
  11. เซิร์ฟเวอร์ของ Google จะส่งข้อความ capture (เพื่อค้นหาเงินทุนที่ใช้ได้) ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน (authenticationRequestId, GPT, จำนวนเงิน)
  12. เซิร์ฟเวอร์ผู้รวมการชำระเงินจะส่งข้อความแสดงความสำเร็จกลับไปที่เซิร์ฟเวอร์ของ Google
  13. เซิร์ฟเวอร์ของ Google ส่งข้อความแสดงความสำเร็จไปยัง UI ของ Google
  14. UI ของ Google จะส่งสินค้าให้ลูกค้า (หรือแจ้งว่าจะได้รับการนำส่งในเร็วๆ นี้)

การตรวจสอบสิทธิ์ทาง SMS-MO

บริการข้อความสั้นๆ ซึ่งเป็นขั้นตอนการตรวจสอบสิทธิ์ที่สร้างขึ้นบนอุปกรณ์เคลื่อนที่ใช้ SMS ที่มีรหัสคำขอการตรวจสอบสิทธิ์ที่ส่งจากโทรศัพท์ของผู้ใช้ไปยังผู้รวมการชำระเงินเพื่อตรวจสอบสิทธิ์ผู้ใช้

ขั้นตอนการตรวจสอบสิทธิ์ SMS-MO

รายการวัตถุในแผนภาพและความหมายของวัตถุเหล่านั้นมีดังนี้

  • ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
  • UI ของ Google/อุปกรณ์: ในกรณีนี้คือแอปโทรศัพท์ของ Google ที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน
  • เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่สร้างวิธีการทาง SMS ที่มีรหัสคำขอการตรวจสอบสิทธิ์ (ARID) และได้รับผลการตรวจสอบสิทธิ์จากผู้ผสานรวม
  • เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่ได้รับ SMS ตรวจสอบสิทธิ์และส่งคืนรหัสคำขอการตรวจสอบสิทธิ์ไปยัง Google

เนื่องจากนี่เป็นขั้นตอนการตรวจสอบสิทธิ์ เราจึงสันนิษฐานว่าผู้ใช้ใช้แอป (Google UI) และกำลังพยายามเพิ่มวิธีการชำระเงิน นี่คือจุดเริ่มต้น

  1. ผู้ใช้เลือกเครื่องมือที่แปลงข้อมูลเป็นโทเค็นที่จะเพิ่ม
  2. UI ของ Google เรียกเซิร์ฟเวอร์ของ Google ให้เริ่มต้นชาเลนจ์ SMS-MO
  3. เซิร์ฟเวอร์ของ Google จะส่งคืนคำแนะนำ SMS ซึ่งประกอบด้วยปลายทางและเนื้อความที่มีรหัสคำขอการตรวจสอบสิทธิ์
  4. UI ของ Google จะส่ง SMS ไปยังผู้รวมการชำระเงิน
  5. เซิร์ฟเวอร์ผู้รวมการชำระเงินจะเรียกปลายทาง AuthenticationResultNotification ในเซิร์ฟเวอร์ของ Google ที่มีรหัสคำขอการตรวจสอบสิทธิ์
  6. รหัสคำขอการตรวจสอบสิทธิ์ได้รับการตรวจสอบโดยเซิร์ฟเวอร์ของ Google ซึ่งจะตอบกลับว่า "สำเร็จ"
  7. UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google เพื่อรับผลลัพธ์ของการพยายามตรวจสอบสิทธิ์
  8. การตอบกลับของเซิร์ฟเวอร์ Google สำเร็จ

การจำลองการตรวจสอบสิทธิ์ทาง SMS-MO

Google กำหนดปลายทางจำลอง SMS เพื่อวัตถุประสงค์ในการทดสอบวินิจฉัยขั้นตอนการตรวจสอบสิทธิ์ SMS-MO ทำให้ไม่จำเป็นต้องมีการส่งและตรวจสอบ SMS จริงเมื่อดำเนินการเชื่อมโยงการทดสอบในสภาพแวดล้อมแบบแซนด์บ็อกซ์

ขั้นตอนการตรวจสอบสิทธิ์ SMS-MO ที่จำลองขึ้น

รายการวัตถุในแผนภาพและความหมายของวัตถุเหล่านั้นมีดังนี้

  • ผู้ทดสอบ: ผู้ที่เริ่มการทดสอบการวินิจฉัยการเชื่อมโยง SMS-MO
  • Google UI: UI ของ Google ที่ผู้ทดสอบเริ่มต้นและตรวจสอบสถานะของการทดสอบการวินิจฉัย SMS-MO
  • เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่สร้างวิธีการทาง SMS ที่มีรหัสคำขอการตรวจสอบสิทธิ์ (ARID) ส่งข้อความ SMS จำลอง และรับผลการตรวจสอบสิทธิ์จากผู้ผสานรวม
  • เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมระบบที่ได้รับ SMS การตรวจสอบสิทธิ์ที่จำลองขึ้นมาและส่งคืนรหัสคำขอการตรวจสอบสิทธิ์ไปยัง Google

ขั้นตอนของขั้นตอนนี้มีดังนี้

  1. ผู้ทดสอบจะเริ่มการทดสอบการวินิจฉัย SMS-MO ด้วยการระบุรหัสสมาชิกทดสอบ (SID) เพื่อใช้ในการทดสอบ SID นี้จะรวมอยู่ในการเรียก simulateSms ไปยังผู้รวมการชำระเงิน
  2. UI ของ Google เรียกเซิร์ฟเวอร์ของ Google ให้เริ่มต้นชาเลนจ์ SMS-MO
  3. เซิร์ฟเวอร์ของ Google จะส่งคืนคำแนะนำ SMS ซึ่งประกอบด้วยปลายทางและเนื้อความที่มีรหัสคำขอการตรวจสอบสิทธิ์ ในการทดสอบนี้ การเชื่อมต่อ HTTPS ในแซนด์บ็อกซ์ของผู้รวมการชําระเงินจะลบล้างปลายทาง
  4. UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google ให้ส่งข้อความ SMS จำลอง
  5. การเรียก simulateSms ดำเนินการจากเซิร์ฟเวอร์ Google ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน ทั้งรหัสคำขอการตรวจสอบสิทธิ์และรหัสสมาชิก (ตามที่ระบุไว้ในขั้นตอนที่ 1) จะรวมอยู่ในการเรียก API
  6. เซิร์ฟเวอร์ผู้รวมการชำระเงินตอบกลับว่ารับทราบแล้ว
  7. เซิร์ฟเวอร์ของ Google ตอบสนอง "สำเร็จ" ใน UI ของ Google
  8. เซิร์ฟเวอร์ผู้รวมการชำระเงินจะเรียกปลายทาง AuthenticationResultNotification ในเซิร์ฟเวอร์ของ Google ที่มีรหัสคำขอการตรวจสอบสิทธิ์
  9. เซิร์ฟเวอร์ของ Google ตอบกลับว่า "สำเร็จ"
  10. UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google เพื่อรับผลลัพธ์ของการพยายามตรวจสอบสิทธิ์
  11. เซิร์ฟเวอร์ของ Google ตอบกลับว่า "เสร็จสมบูรณ์"
  12. UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google ให้ทำการพยายามเชื่อมโยง
  13. การเรียก associateAccount ดำเนินการจากเซิร์ฟเวอร์ Google ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน
  14. เซิร์ฟเวอร์ผู้รวมการชำระเงินตอบกลับสำเร็จ
  15. เซิร์ฟเวอร์ของ Google ตอบกลับว่า "สำเร็จ"
  16. การอัปเดต UI ของ Google เพื่อแจ้งให้ผู้ทดสอบทราบว่าการทดสอบการวินิจฉัย SMS-MO เสร็จสมบูรณ์แล้ว

แนวทางปฏิบัติแนะนำและข้อควรพิจารณาอื่นๆ

ตัวเลือกแพลตฟอร์ม

การมีขั้นตอนการตรวจสอบสิทธิ์สำหรับแอปบนอุปกรณ์เคลื่อนที่และเว็บบนเดสก์ท็อปจะช่วยให้ผู้รวมบริการเข้าถึงผู้ใช้ได้มากที่สุด Google ขอแนะนำเป็นอย่างยิ่งให้ผู้ผสานการทำงานระบบสนับสนุนแอปพลิเคชัน Android เนื่องจากให้ประสบการณ์ที่ดีที่สุดแก่ผู้ใช้ ซึ่งทำให้เกิดอัตรา Conversion สูงสุด พารามิเตอร์ที่ส่งผ่านใน API การตรวจสอบสิทธิ์สำหรับเว็บและแอปพลิเคชัน Android จะเหมือนกัน