V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
500
V2EX  ›  分享发现

这是支付宝的 Feature ?

  •  
  •   500 · 2021-11-02 09:45:18 +08:00 · 2822 次点击
    这是一个创建于 1151 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景

    前些天换了手机,最近一直在新旧两部手机交替使用。使用支付宝时遇到了下述的问题,保险起见这几天一直在留意,初步判断不是偶发事件。

    设备

    • 旧手机:Samsung Note 8
    • 新手机:Samsung Note 20 Ultra

    操作流程

    1. 旧手机登录支付宝

    2. 新手机登录支付宝

      注意: 在新手机登录支付宝后不要在旧手机打开支付宝
      正常情况下因为 单点登录 的缘故,这时候如果在旧手机打开支付宝会弹出下线通知:已在其它设备登录,请重新登录

    3. 在旧手机上打开美团

      随意选购一些商品,然后 提交订单,选择 支付宝支付,这时候会出现三种情况:

      1. 直接弹出 下线通知 提示框
      2. 直接弹出 确认支付 窗口
      3. 先弹出 下线通知 提示框,再弹出 确认支付 窗口

      对于情况 1 可以按 底部菜单键 切到 美团 这时候就会弹出 确认支付 窗口。

    4. 进行支付

      在前一步的 1 、2 、3 情况下点击 确认支付 按钮都可以弹出密码输入框,并支付成功。

    5. 后续

      支付完成后再次打开支付宝,弹出下线通知:已在其它设备登录,请重新登录
      支付完成后不打开支付宝,再次尝试上述操作不再弹出 确认支付 窗口。

    6. 我的疑虑

      1. 不知道这是个别现象还是普遍存在?
      2. 这是一个 单点登录的 Bug 还是一个 快捷支付的 Feature
      3. 有没有危害性(后续支付宝会不会调整)?
    7. 补充

      支付宝有一个使用 账号支付密码 进行支付的服务,中国联通网页版话费充值就使用了这种方式。

    v2ka
        1
    v2ka  
       2021-11-02 10:11:32 +08:00
    绕来绕去实在没看太懂......感觉不算啥安全问题。

    因为你登陆新设备,都是需要授权的,比如短信验证。

    论证两端支付的安全问题,就像论证两把一样的钥匙,哪把是原配一样,无此必要。

    -END-
    BrettD
        2
    BrettD  
       2021-11-02 10:12:59 +08:00 via iPhone
    @v2ka 楼主意思应该是新设备登录后旧设备就不应该被允许支付
    yanyumihuang
        3
    yanyumihuang  
       2021-11-02 11:03:51 +08:00
    你难道没用过支付宝的网页版吗,网页一直都输入账号和支付密码支付的。你银行卡丢了,只要你密码没丢,谁能把你的钱取走。这一样的道理。保护好支付密码
    500
        4
    500  
    OP
       2021-11-02 11:37:09 +08:00
    @BrettD 是这样的
    @yanyumihuang 关注点是单点登录,要么不做单点登录,要么在支付之前触发,而不是在一次支付之后才要求登录

    按现在的现象来说,支付宝的登录失效也许不是从服务端失效,而是客户端得知账号在新设备登录之后删除了保存在本地的票据。
    又可能支付的时候没有验证登录状态,而只是核实支付密码。
    cky
        5
    cky  
       2021-11-02 13:09:53 +08:00 via iPhone
    单点登录?你是想说单设备登录吧
    yanyumihuang
        6
    yanyumihuang  
       2021-11-02 13:33:40 +08:00 via Android
    @500 我是经常用这个的。咸鱼在平板上,支付宝在手机上,现在这个情况,我就不用每次买东西要登录一下支付宝了。直接支付密码就行。我觉得没有安全风险。
    WebKit
        7
    WebKit  
       2021-11-02 21:01:55 +08:00 via Android
    应该是针对设备做了安全认证。而且支付宝也是有网页版的。
    2i2Re2PLMaDnghL
        8
    2i2Re2PLMaDnghL  
       2021-11-02 21:32:58 +08:00
    可能是同时有仅允许单设备的登录 token ,和一次性的支付 token ,后者可能是为了在断网情况下仍然能够支付、或者网络不是很好的时候能够尽快处理而存在的。

    显然,业务逻辑状态机分析时很可能没意识到这个点,看上去最可能的是一个 feature 的 side effect 。
    john6lq
        9
    john6lq  
       2021-11-03 11:09:23 +08:00
    真是啥都操心,官方都说了“敢付敢赔,如果被盗全额赔付”。
    500
        10
    500  
    OP
       2021-11-03 20:34:44 +08:00 via Android
    @john6lq 感谢扩充 Block
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1625 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:48 · PVG 00:48 · LAX 08:48 · JFK 11:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.