ภาพรวม
วัตถุประสงค์ของขั้นตอนการตรวจสอบสิทธิ์คือการระบุและตรวจสอบสิทธิ์ผู้ใช้กับผู้รวมการชำระเงิน (ผู้รวมบริการ)
การตรวจสอบสิทธิ์คือการป้อนข้อมูลไปยังวิธีการอื่นๆ โดยเฉพาะอย่างยิ่งสำหรับ associateAccount
และ capture
ซึ่งหมายความว่าจะมีการใช้หลักฐานการตรวจสอบสิทธิ์เป็นอินพุต (พารามิเตอร์) สำหรับ 2 วิธีการนั้น
นอกจากนี้ Google ยังใช้ขั้นตอนการตรวจสอบสิทธิ์ในโหมดสแตนด์อโลนเพื่อยืนยันผู้ใช้ได้ด้วย ในกรณีนี้ ไม่ได้ใช้เป็นอินพุตสำหรับโฟลว์อื่น แต่จะใช้เพื่อยืนยันว่าผู้ใช้ตรวจสอบสิทธิ์ข้อมูลประจำตัวนี้ได้เท่านั้น
โปรดทราบว่าเมื่อคุณเริ่มต้นใช้งาน Google จะทำงานร่วมกับคุณเพื่อเลือกกลไกการตรวจสอบสิทธิ์ที่เหมาะกับผลิตภัณฑ์ของคุณมากที่สุด
วิธีการทำงานของโฟลว์
การตรวจสอบสิทธิ์ผู้ใช้มี 2 วิธี ซึ่งแต่ละวิธีมีขั้นตอนของตนเอง ในขณะผสานรวม ผู้รวมระบบต้องตัดสินใจว่าจะใช้รายการใด
- การตรวจสอบสิทธิ์เพื่อเปลี่ยนเส้นทาง
- การตรวจสอบสิทธิ์ OTP ผ่าน SMS-MT
การตรวจสอบสิทธิ์เพื่อเปลี่ยนเส้นทาง
ระบบอาจเปลี่ยนเส้นทางผู้ใช้ Google ที่ต้องมีการตรวจสอบสิทธิ์ไปยังแอปหรือเว็บไซต์ของผู้ผสานรวมเพื่อยืนยันตัวตน ภาพรวมคร่าวๆ ของขั้นตอนในขั้นตอนนี้มีดังนี้
- Google จะเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บหรือแอป Android ของผู้ผสานรวมที่ตรวจสอบสิทธิ์ได้
- ในการตรวจสอบสิทธิ์ ระบบจะใช้การตรวจสอบสิทธิ์
requestId
(จากAuthenticationRequest
) เป็นหลักฐานการตรวจสอบสิทธิ์ - ซึ่งส่งผลให้เกิดการตอบกลับที่มีการลงนาม ซึ่งเรียกว่า
AuthenticationResponse
- หลังจากนั้น แอปหรือเว็บไซต์จะเปลี่ยนเส้นทางผู้ใช้กลับไปยัง Google
การตรวจสอบสิทธิ์การเปลี่ยนเส้นทางใช้เมธอด HTTP GET ที่มีพารามิเตอร์ที่เข้ารหัสใน URL สำหรับเว็บแอปพลิเคชัน ซึ่งใช้ Android Intent สำหรับการตรวจสอบสิทธิ์แอปพลิเคชัน Android ดูรายละเอียดเพิ่มเติมเกี่ยวกับการเข้ารหัสได้ที่การตรวจสอบสิทธิ์ผ่านเว็บ และพารามิเตอร์ Intent ของ Android ที่การตรวจสอบสิทธิ์ของ Android
ผลจากกลไกการตรวจสอบสิทธิ์แต่ละรายการเหล่านี้คือการตอบกลับที่ลงชื่อแล้วที่เรียกว่า AuthenticationResponse
ซึ่ง Intent นี้ควรมีการตอบกลับการตรวจสอบสิทธิ์การชำระเงินแบบมาตรฐานของ Google ที่เข้ารหัสและเข้ารหัส (gspAuthenticationResponse
) เพื่อแจ้งการตรวจสอบสิทธิ์ที่สำเร็จ หากใช้งานในโหมดสแตนด์อโลน ระบบจะใช้ gspResult
และลายเซ็นเพื่อระบุว่าการตรวจสอบสิทธิ์สําเร็จ
แผนภาพลำดับต่อไปนี้แสดงการโต้ตอบระหว่างเบราว์เซอร์ของผู้ใช้, Google และเว็บแอปพลิเคชันของผู้ผสานรวม
ขั้นตอนการตรวจสอบสิทธิ์การเปลี่ยนเส้นทางผ่านเว็บ
ต่อไปนี้คือรายการวัตถุและความหมายของวัตถุเหล่านั้น
- ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
- UI ของ Google: ในกรณีนี้คืออินเทอร์เฟซเว็บของ Google ที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน
- เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำหน้าที่ตรวจสอบการตรวจสอบสิทธิ์ พร้อมกับงานการตรวจสอบสิทธิ์อื่นๆ
- เว็บของผู้รวมการชำระเงิน: เว็บไซต์ของผู้รวมบริการที่ผู้ใช้มีบัญชี
เราถือว่าผู้ใช้อยู่ในเว็บไซต์ของ Google (UI ของ Google) และกำลังพยายามเพิ่มวิธีการชำระเงินในขั้นตอนการตรวจสอบสิทธิ์นี้ นี่คือจุดเริ่มต้นของทุกสิ่ง
- UI ของ Google สร้าง URL การตรวจสอบสิทธิ์ซึ่งส่งไปยังเซิร์ฟเวอร์ของ Google (แบ็กเอนด์) ซึ่งเป็นสิ่งที่ทริกเกอร์กระบวนการตรวจสอบสิทธิ์
- เซิร์ฟเวอร์ของ Google สร้างคำขอการตรวจสอบสิทธิ์ (
AuthenticationRequest
) - คำขอการตรวจสอบสิทธิ์ที่ส่งไปยัง UI ของ Google
- ผู้ใช้จะได้รับข้อความแจ้งว่าต้องตรวจสอบสิทธิ์ ID ของตนกับผู้ผสานรวม
- ผู้ใช้ตอบว่าต้องการตรวจสอบสิทธิ์ ซึ่งจะส่งข้อความนั้นไปยังเว็บไซต์ของผู้ผสานรวม
- เว็บไซต์ของผู้รวมการชำระเงินจะขอให้ยืนยันตัวตนของผู้ใช้
- ผู้ใช้แสดงหลักฐานยืนยันตัวตน ซึ่งจะส่งไปยังเว็บไซต์ของผู้รวมการชำระเงิน
- ผู้ผสานรวมจะสร้างคำตอบ (
authenticationResponse
) ต่อหลักฐานที่ได้รับ (โดยเข้ารหัสauthenticationResponse
ในข้อความ) - ระบบจะส่ง URL การตอบสนองนี้ไปยังผู้ใช้
- URL การตอบสนองจะส่งจากผู้ใช้ไปยัง UI ของ Google ทันที
- UI ของ Google จะส่งการตอบสนองไปยังเซิร์ฟเวอร์ Google
- เซิร์ฟเวอร์ของ Google จะตีความการตอบกลับว่ายืนยันแล้ว
แผนภาพลำดับถัดไปแสดงการโต้ตอบระหว่างโทรศัพท์ของผู้ใช้, Google และแอปพลิเคชัน Android ของผู้ผสานการทำงาน ดังนี้
เปลี่ยนเส้นทาง-ขั้นตอนการตรวจสอบสิทธิ์แอป Android
วัตถุและความหมายของวัตถุมีดังนี้
- ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
- UI ของ Google: ในกรณีนี้คืออินเทอร์เฟซของแอปที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน
- เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำหน้าที่ตรวจสอบการตรวจสอบสิทธิ์ พร้อมกับงานการตรวจสอบสิทธิ์อื่นๆ
- APK ของผู้รวมการชำระเงิน: แอปของผู้ผสานรวมที่ผู้ใช้มีสิทธิ์เข้าถึงบัญชีผู้รวมบริการของตน
- เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่จัดเก็บข้อมูลของผู้ใช้
เนื่องจากนี่เป็นขั้นตอนการตรวจสอบสิทธิ์ เราจึงสันนิษฐานว่าผู้ใช้ใช้แอป (Google UI) และกำลังพยายามเพิ่มวิธีการชำระเงิน นี่คือจุดเริ่มต้น
- UI ของ Google สร้างการเรียกการตรวจสอบสิทธิ์ซึ่งส่งไปยังเซิร์ฟเวอร์ของ Google (แบ็กเอนด์)
- เซิร์ฟเวอร์ของ Google จะสร้างคำขอการตรวจสอบสิทธิ์ (
AuthenticationRequest
) - เซิร์ฟเวอร์ Google จะส่ง APK การโทรไปยัง Google UI (แอป) เพื่อขอการตรวจสอบสิทธิ์
- UI ของ Google จะส่งข้อมูลผู้ใช้ไปยัง APK ของผู้รวมการชำระเงิน (
AUTHENTICATE_V1(authReq)
) - APK ของผู้รวมการชำระเงินจะส่งคำขอ (
authReq
) ไปยังเซิร์ฟเวอร์ของผู้รวมการชำระเงิน - เซิร์ฟเวอร์ผู้รวมการชำระเงินส่งคำขอกลับไปยัง APK ของผู้รวมการชำระเงิน
- APK ผู้รวมการชำระเงินส่งภารกิจกลับไปให้ผู้ใช้
- ผู้ใช้แสดงหลักฐานยืนยันตัวตน ซึ่งจะส่งไปยัง APK ของผู้ผสานการชำระเงิน
- จากนั้นระบบจะส่งหลักฐานนี้ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน
- เซิร์ฟเวอร์จะสร้าง
authenticationResponse
ที่มีการลงชื่อ - ตอบกลับการตรวจสอบสิทธิ์เรียบร้อยแล้วและระบบจะส่งข้อความ
authResp
ไปยัง APK ของผู้ผสานการชำระเงิน - APK ของผู้รวมการชำระเงินจะส่งไปยัง UI ของ Google ข้อความดำเนินการสำเร็จ (
authResp
) - UI ของ Google จะส่งการตอบกลับไปยังเซิร์ฟเวอร์ Google
- เซิร์ฟเวอร์ของ Google จะตีความการตอบกลับที่สำเร็จ
การตรวจสอบสิทธิ์ OTP ผ่าน SMS-MT
วิธีการตรวจสอบสิทธิ์อีกวิธีหนึ่งคือ บริการข้อความสั้น สิ้นสุดการใช้งานบนอุปกรณ์เคลื่อนที่ รหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (SMS-MT OTP) โดยกลไกนี้จะใช้หมายเลขโทรศัพท์ของผู้ใช้ในการส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียวสำหรับการตรวจสอบสิทธิ์ Google ขอให้ผู้รวมบริการส่ง OTP ไปยังหมายเลขโทรศัพท์ของผู้ใช้ และหลังจากที่ผู้ใช้ได้รับแล้วจึงป้อนข้อมูลนี้ในอินเทอร์เฟซของ Google ผู้ใช้จะได้รับการยืนยัน
ซึ่งประกอบด้วยขั้นตอนต่อไปนี้
- อินเทอร์เฟซผู้ใช้ (UI) ของ Google จะแจ้งให้ผู้ใช้ป้อนหมายเลขโทรศัพท์ซึ่งลงทะเบียนกับผู้ผสานการทำงานระบบแล้ว
- ผู้ใช้ป้อนหมายเลขโทรศัพท์ใน UI ของ Google
- Google จะทริกเกอร์ผู้ผสานการทำงาน (เรียกเมธอด
sendOtp
) เพื่อส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (OTP) ให้กับผู้ใช้ - ผู้ใช้จะได้รับข้อความ SMS ที่มี OTP
- จากนั้นผู้ใช้จึงป้อน OTP (ใช้เป็นอินพุตสำหรับ
capture
,associateAccount
และverifyOtp
) ที่ได้รับลงในอินเทอร์เฟซของ Google เพื่อตรวจสอบสิทธิ์ผู้ใช้ นี่คือหลักฐานการตรวจสอบสิทธิ์
ในโหมดสแตนด์อโลน ระบบจะเรียกใช้เฉพาะเมธอด verifyOtp
เพื่อยืนยันค่า OTP
แผนภาพลำดับต่อไปนี้แสดงการโต้ตอบระหว่างโทรศัพท์ของผู้ใช้, Google และผู้รวมระบบเมื่อส่ง OTP
ขั้นตอนการตรวจสอบสิทธิ์ทางโทรศัพท์ (การส่ง OTP)
รายการวัตถุในแผนภาพและความหมายของวัตถุเหล่านั้นมีดังนี้
- ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
- UI ของ Google: ในกรณีนี้คือเว็บไซต์หรือแอปโทรศัพท์ของ Google ที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน หมายเหตุ: ถ้า UI ของ Google เป็นแอปโทรศัพท์ ระบบจะข้าม 2 ขั้นตอนแรกเนื่องจากโทรศัพท์รู้หมายเลขโทรศัพท์ของผู้ใช้อยู่แล้ว
- เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำหน้าที่ตรวจสอบการตรวจสอบสิทธิ์ พร้อมกับงานการตรวจสอบสิทธิ์อื่นๆ
- เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่จัดเก็บข้อมูลของผู้ใช้
เนื่องจากนี่เป็นขั้นตอนการตรวจสอบสิทธิ์ OTP เราถือว่าผู้ใช้อยู่ในแอปหรือเว็บไซต์โทรศัพท์ของ Google (Google UI) และกำลังพยายามเพิ่มวิธีการชำระเงิน นี่คือจุดเริ่มต้น
- UI ของ Google (โทรศัพท์หรือเว็บไซต์) จะแจ้งให้ผู้ใช้กรอกหมายเลขโทรศัพท์
- ผู้ใช้ป้อนหมายเลขโทรศัพท์ลงใน UI ของ Google
- UI ของ Google จะส่งหมายเลข (
sendChallenge(phoneNum)
) ไปยังเซิร์ฟเวอร์ Google - เซิร์ฟเวอร์ของ Google จะส่งคำขอไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน (
SendOtp(phoneNum)
) เพื่อส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว - เซิร์ฟเวอร์ผู้รวมการชำระเงินจะส่งรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (OTP) ให้ผู้ใช้
- เซิร์ฟเวอร์ผู้รวมการชำระเงินตอบรับคำขอของ Google ในข้อที่ 5 ซึ่งเป็นสัญญาณว่าได้ส่ง OTP เรียบร้อยแล้ว
- ผู้ใช้ป้อน OTP นี้ลงใน UI ของ Google (โทรศัพท์หรือเว็บไซต์)
- UI ของ Google จะส่ง OTP ไปยังเซิร์ฟเวอร์ Google ซึ่งจะส่งไปยังผู้รวมการชำระเงินเพื่อยืนยันในที่สุด วิธีนี้จะยืนยันตัวตนของผู้ใช้และตรวจสอบสิทธิ์ผู้ใช้
การตรวจสอบสิทธิ์และการตรวจสอบสิทธิ์อีกครั้ง
การตรวจสอบสิทธิ์สามารถเกิดขึ้นได้ด้วยเวลา 2 จุด ได้แก่
- การตรวจสอบสิทธิ์ขั้นต้น ใช้เพื่อระบุและตรวจสอบสิทธิ์ผู้ใช้ การตรวจสอบสิทธิ์เริ่มต้นจะใช้เป็นอินพุตไปยังเมธอด
associateAccount
- การตรวจสอบสิทธิ์อีกครั้ง - ใช้ในบริบทอื่นๆ ทั้งหมด เช่น แบบสแตนด์อโลนหรือเป็นอินพุตของ
capture
การตรวจสอบสิทธิ์ซ้ำแตกต่างจากการตรวจสอบสิทธิ์เริ่มต้น แอปไม่ได้ต้องการระบุตัวผู้ใช้อีก แค่ตรวจสอบสิทธิ์ใหม่เท่านั้น Google ใช้การตรวจสอบสิทธิ์ซ้ำเพื่อคัดค้านผู้ใช้ในการพิสูจน์ว่าเป็นเจ้าของบัญชีหนึ่งๆ และการดำเนินการนี้จะขึ้นอยู่กับการพิจารณาตามที่เห็นสมควรของ Google
ในขั้นตอนนี้ จะมีการให้ข้อมูลอ้างอิงที่เรียกว่า associationId
กับการเชื่อมโยงเดิม (จากขั้นตอนการเชื่อมโยง) ซึ่งได้มาจากการเรียกเมธอด associateAccount
ในระหว่างขั้นตอนการเชื่อมโยง associationId
ระบุบัญชีที่จะโต้แย้ง เพื่อความปลอดภัย ผู้ใช้ต้องไม่สามารถเปลี่ยนบัญชีที่ส่งคำขอได้
สำหรับการตรวจสอบสิทธิ์ด้วย SMS-MT OTP อีกครั้ง Google จะเก็บหมายเลขโทรศัพท์ที่ให้ไว้ในระหว่างการโทรครั้งแรกไปยัง sendOtp
เป็นหมายเลขคงที่ ไม่สามารถเปลี่ยนแปลงได้อีก เพื่อความปลอดภัย
ต่อไปนี้คือตัวอย่างของขั้นตอนที่ Google ตัดสินใจที่จะทดสอบ (ตรวจสอบสิทธิ์อีกครั้ง) ก่อนทำการซื้อ
ขั้นตอนการตรวจสอบสิทธิ์อีกครั้ง
รายการวัตถุและวัตถุแทนมีดังนี้
- ผู้ใช้: คือผู้ที่ต้องการซื้อ
- UI ของ Google: ในกรณีนี้คือเว็บไซต์หรือแอปโทรศัพท์ของ Google ที่ลูกค้าเริ่มทำการซื้อ
- UI โปรแกรมรวมการชำระเงิน: เว็บไซต์หรือแอปที่แสดงต่อลูกค้า ซึ่งผู้ใช้สามารถเข้าถึงข้อมูลบัญชีด้วยเครื่องมือรวมได้
- เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่ทำการตรวจสอบการตรวจสอบสิทธิ์อีกครั้ง พร้อมกับงานอื่นๆ
- เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่จัดเก็บข้อมูลของผู้ใช้
ขั้นตอนการตรวจสอบสิทธิ์อีกครั้งจะเริ่มต้นเมื่อลูกค้าเริ่มทำการซื้อ การดำเนินการนี้จะเริ่มต้นขั้นตอนการตรวจสอบสิทธิ์ผู้ใช้อีกครั้ง
- ผู้ใช้ตัดสินใจซื้อสินค้าหรือบริการ
- คำขอจะส่งจาก UI ของ Google ไปยังเซิร์ฟเวอร์ของ Google
- เซิร์ฟเวอร์ของ Google จะส่งคำขอการตรวจสอบสิทธิ์ (
authenticationRequest
) กลับไปยัง Google UI - UI ของ Google จะส่งคำขอไปยัง UI ผู้รวมการชำระเงินเพื่อตรวจสอบสิทธิ์ (
associationId
,authenticationRequest
) ผู้ใช้ - UI ผู้รวมการชำระเงินจะค้นหาผู้ใช้เพื่อยืนยันตัวตน (
LookupIdentity
(associationId
)) - UI ของผู้ผสานรวมการชำระเงินจะแจ้งให้ผู้ใช้ระบุข้อมูลเข้าสู่ระบบใน UI (เว็บไซต์หรือแอปของผู้ผสานรวม)
- การตอบกลับการตรวจสอบสิทธิ์จะส่งไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน
- การตอบกลับการตรวจสอบสิทธิ์ที่ลงนามแล้ว (
authenticationResponse
) จะส่งกลับไปยัง UI ของผู้ชำระเงิน - การตอบกลับการตรวจสอบสิทธิ์ (
authenticationResponse
) จะส่งจาก UI ผู้รวมการชำระเงินไปยัง UI ของ Google - UI ของ Google จะส่งการตอบกลับพร้อมข้อมูลการซื้อไปยังเซิร์ฟเวอร์ Google
- เซิร์ฟเวอร์ของ Google จะส่งข้อความ
capture
(เพื่อค้นหาเงินทุนที่ใช้ได้) ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน (authenticationRequestId
, GPT, จำนวนเงิน) - เซิร์ฟเวอร์ผู้รวมการชำระเงินจะส่งข้อความแสดงความสำเร็จกลับไปที่เซิร์ฟเวอร์ของ Google
- เซิร์ฟเวอร์ของ Google ส่งข้อความแสดงความสำเร็จไปยัง UI ของ Google
- UI ของ Google จะส่งสินค้าให้ลูกค้า (หรือแจ้งว่าจะได้รับการนำส่งในเร็วๆ นี้)
การตรวจสอบสิทธิ์ทาง SMS-MO
บริการข้อความสั้นๆ ซึ่งเป็นขั้นตอนการตรวจสอบสิทธิ์ที่สร้างขึ้นบนอุปกรณ์เคลื่อนที่ใช้ SMS ที่มีรหัสคำขอการตรวจสอบสิทธิ์ที่ส่งจากโทรศัพท์ของผู้ใช้ไปยังผู้รวมการชำระเงินเพื่อตรวจสอบสิทธิ์ผู้ใช้
รายการวัตถุในแผนภาพและความหมายของวัตถุเหล่านั้นมีดังนี้
- ผู้ใช้: คือผู้ที่ต้องการเพิ่มวิธีการชำระเงินลงในบัญชี Google
- UI ของ Google/อุปกรณ์: ในกรณีนี้คือแอปโทรศัพท์ของ Google ที่ลูกค้าเริ่มตั้งค่าวิธีการชำระเงิน
- เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่สร้างวิธีการทาง SMS ที่มีรหัสคำขอการตรวจสอบสิทธิ์ (ARID) และได้รับผลการตรวจสอบสิทธิ์จากผู้ผสานรวม
- เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมบริการที่ได้รับ SMS ตรวจสอบสิทธิ์และส่งคืนรหัสคำขอการตรวจสอบสิทธิ์ไปยัง Google
เนื่องจากนี่เป็นขั้นตอนการตรวจสอบสิทธิ์ เราจึงสันนิษฐานว่าผู้ใช้ใช้แอป (Google UI) และกำลังพยายามเพิ่มวิธีการชำระเงิน นี่คือจุดเริ่มต้น
- ผู้ใช้เลือกเครื่องมือที่แปลงข้อมูลเป็นโทเค็นที่จะเพิ่ม
- UI ของ Google เรียกเซิร์ฟเวอร์ของ Google ให้เริ่มต้นชาเลนจ์ SMS-MO
- เซิร์ฟเวอร์ของ Google จะส่งคืนคำแนะนำ SMS ซึ่งประกอบด้วยปลายทางและเนื้อความที่มีรหัสคำขอการตรวจสอบสิทธิ์
- UI ของ Google จะส่ง SMS ไปยังผู้รวมการชำระเงิน
- เซิร์ฟเวอร์ผู้รวมการชำระเงินจะเรียกปลายทาง AuthenticationResultNotification ในเซิร์ฟเวอร์ของ Google ที่มีรหัสคำขอการตรวจสอบสิทธิ์
- รหัสคำขอการตรวจสอบสิทธิ์ได้รับการตรวจสอบโดยเซิร์ฟเวอร์ของ Google ซึ่งจะตอบกลับว่า "สำเร็จ"
- UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google เพื่อรับผลลัพธ์ของการพยายามตรวจสอบสิทธิ์
- การตอบกลับของเซิร์ฟเวอร์ Google สำเร็จ
การจำลองการตรวจสอบสิทธิ์ทาง SMS-MO
Google กำหนดปลายทางจำลอง SMS เพื่อวัตถุประสงค์ในการทดสอบวินิจฉัยขั้นตอนการตรวจสอบสิทธิ์ SMS-MO ทำให้ไม่จำเป็นต้องมีการส่งและตรวจสอบ SMS จริงเมื่อดำเนินการเชื่อมโยงการทดสอบในสภาพแวดล้อมแบบแซนด์บ็อกซ์
รายการวัตถุในแผนภาพและความหมายของวัตถุเหล่านั้นมีดังนี้
- ผู้ทดสอบ: ผู้ที่เริ่มการทดสอบการวินิจฉัยการเชื่อมโยง SMS-MO
- Google UI: UI ของ Google ที่ผู้ทดสอบเริ่มต้นและตรวจสอบสถานะของการทดสอบการวินิจฉัย SMS-MO
- เซิร์ฟเวอร์ของ Google: เซิร์ฟเวอร์แบ็กเอนด์ของ Google ที่สร้างวิธีการทาง SMS ที่มีรหัสคำขอการตรวจสอบสิทธิ์ (ARID) ส่งข้อความ SMS จำลอง และรับผลการตรวจสอบสิทธิ์จากผู้ผสานรวม
- เซิร์ฟเวอร์ผู้รวมการชำระเงิน: เซิร์ฟเวอร์แบ็กเอนด์ของผู้รวมระบบที่ได้รับ SMS การตรวจสอบสิทธิ์ที่จำลองขึ้นมาและส่งคืนรหัสคำขอการตรวจสอบสิทธิ์ไปยัง Google
ขั้นตอนของขั้นตอนนี้มีดังนี้
- ผู้ทดสอบจะเริ่มการทดสอบการวินิจฉัย SMS-MO ด้วยการระบุรหัสสมาชิกทดสอบ (SID) เพื่อใช้ในการทดสอบ SID นี้จะรวมอยู่ในการเรียก
simulateSms
ไปยังผู้รวมการชำระเงิน - UI ของ Google เรียกเซิร์ฟเวอร์ของ Google ให้เริ่มต้นชาเลนจ์ SMS-MO
- เซิร์ฟเวอร์ของ Google จะส่งคืนคำแนะนำ SMS ซึ่งประกอบด้วยปลายทางและเนื้อความที่มีรหัสคำขอการตรวจสอบสิทธิ์ ในการทดสอบนี้ การเชื่อมต่อ HTTPS ในแซนด์บ็อกซ์ของผู้รวมการชําระเงินจะลบล้างปลายทาง
- UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google ให้ส่งข้อความ SMS จำลอง
- การเรียก
simulateSms
ดำเนินการจากเซิร์ฟเวอร์ Google ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน ทั้งรหัสคำขอการตรวจสอบสิทธิ์และรหัสสมาชิก (ตามที่ระบุไว้ในขั้นตอนที่ 1) จะรวมอยู่ในการเรียก API - เซิร์ฟเวอร์ผู้รวมการชำระเงินตอบกลับว่ารับทราบแล้ว
- เซิร์ฟเวอร์ของ Google ตอบสนอง "สำเร็จ" ใน UI ของ Google
- เซิร์ฟเวอร์ผู้รวมการชำระเงินจะเรียกปลายทาง AuthenticationResultNotification ในเซิร์ฟเวอร์ของ Google ที่มีรหัสคำขอการตรวจสอบสิทธิ์
- เซิร์ฟเวอร์ของ Google ตอบกลับว่า "สำเร็จ"
- UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google เพื่อรับผลลัพธ์ของการพยายามตรวจสอบสิทธิ์
- เซิร์ฟเวอร์ของ Google ตอบกลับว่า "เสร็จสมบูรณ์"
- UI ของ Google จะเรียกเซิร์ฟเวอร์ของ Google ให้ทำการพยายามเชื่อมโยง
- การเรียก
associateAccount
ดำเนินการจากเซิร์ฟเวอร์ Google ไปยังเซิร์ฟเวอร์ผู้รวมการชำระเงิน - เซิร์ฟเวอร์ผู้รวมการชำระเงินตอบกลับสำเร็จ
- เซิร์ฟเวอร์ของ Google ตอบกลับว่า "สำเร็จ"
- การอัปเดต UI ของ Google เพื่อแจ้งให้ผู้ทดสอบทราบว่าการทดสอบการวินิจฉัย SMS-MO เสร็จสมบูรณ์แล้ว
แนวทางปฏิบัติแนะนำและข้อควรพิจารณาอื่นๆ
ตัวเลือกแพลตฟอร์ม
การมีขั้นตอนการตรวจสอบสิทธิ์สำหรับแอปบนอุปกรณ์เคลื่อนที่และเว็บบนเดสก์ท็อปจะช่วยให้ผู้รวมบริการเข้าถึงผู้ใช้ได้มากที่สุด Google ขอแนะนำเป็นอย่างยิ่งให้ผู้ผสานการทำงานระบบสนับสนุนแอปพลิเคชัน Android เนื่องจากให้ประสบการณ์ที่ดีที่สุดแก่ผู้ใช้ ซึ่งทำให้เกิดอัตรา Conversion สูงสุด พารามิเตอร์ที่ส่งผ่านใน API การตรวจสอบสิทธิ์สำหรับเว็บและแอปพลิเคชัน Android จะเหมือนกัน