微信、支付宝指纹支付,本地校验指纹发往服务器的数据包有何规范要求?

2016-05-20 10:16:24 +08:00
 lovelynn

RT 指纹支付安全开发规范应该是如何? 本地校验指纹发往服务器的数据包应该如何做数据正确与否的校验? = =求 hlep

2706 次点击
所在节点    问与答
11 条回复
tokune
2016-05-20 10:32:10 +08:00
指纹不会传出去的, APPLE 自己都存本地
lovelynn
2016-05-20 10:33:50 +08:00
@tokune 这我当然知道,只是经过了指纹支付,发往服务器的数据包,开发规范里面是否做了数据正确性的校验。不排除人精通指纹支付流程可以篡改数据包呀!
lovelynn
2016-05-20 10:34:23 +08:00
@tokune 我的意思是本地校验有被绕过的可能性,所以发往服务器的数据包有没有什么安全开发规范。。
imn1
2016-05-20 11:04:16 +08:00
SSL 数据你怎么绕过?
tokune
2016-05-20 11:09:14 +08:00
没有了解过,不过指纹支付传的数据应该就是一个用来验证的 token 吧

具体加密要怎么实现应该看每个 APP 自身
lovelynn
2016-05-20 11:21:28 +08:00
@tokune 我也是这样理解。各个行业要求安全性也不一样。互联网金融估计要求高点。也不知道支付宝是如何校验的,唉。只恨自己不是支付宝支付模块的开发。
domty
2016-05-20 11:39:18 +08:00
指纹,密码或者别的什么东西,本质上都是本地生成一个签名往服务器端传吧。
理论上的加密工作应该会由各大支付的 sdk 来提供吧。
lovelynn
2016-05-20 13:20:57 +08:00
@domty 有没有具体的文档可以看看呢?
domty
2016-05-20 15:17:05 +08:00
@lovelynn
支付宝或者微信的开放平台查查吧,
应该有类似移动端的 sdk 以及相关的 doc/demo 之类的
ma125125t
2016-05-20 16:30:07 +08:00
如楼上所说,指纹识别是 APPLE 提供的服务,阿里或微信获得的只不过是 APPLE 提供的 API 返回的正确或者错误。再通过加密传输回服务器。
loading
2016-05-20 16:44:08 +08:00
这个和输入 6 位数字的差不多~安全

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/279947

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX