电子支付爱好者支付以人为本一种基于授权的“应用内支付”的模式by 谢朝晔 on 10/12/2011相信做支付的同学都接到过商户这样的需求“你们能不能提供一个接口给我们，让用户直接在我们的网站上点一下就可以完成支付啊”。这个需求在国内一直没得到很好的满足，最近随着用iphone的同学越来越多，大家都觉得app store的应用购买流程非常简单：只需点一下购买，输一次密码即可。为何app store能做到，国内的支付公司却不能做到呢？其实，关于这种授权支付的模式在国内的银行早就提供了，支付宝的卡通、盛大的一点充、百付宝的百行通都是通过银行提供的“授权支付接口”来做的。具体的流程是：用户在支付时，选择卡通支付；如果是首次使用，用户需要在银行网站上完成授权的操作：授权给支付公司从自己的银行账户中扣款；完成授权后，用户支付时输入支付公司的账户和密码后，就可以完成从自己银行账户扣款。这是一个很有意思的事情：支付公司觉得银行提供的代扣服务给用户带来很好的体验，但却很少见到支付公司给商户开放支付公司自己的代扣服务，而这个对商户和用户来说都是一件很重要的事情，因为能大大简化支付流程。如果支付公司能给商户提供这种代扣的接口的话，那就能实现商户提到的“让用户直接在我们的网站上点一下就可以完成支付”的需求了。以下是利用支付公司扣款服务的商户网站支付流程：1、用户在商户网站上选择“使用xx支付公司支付”；下面呢？没有了！因为已经支付成功了。当然，这个是极简的支付流程，相信已经有一堆的问题产生了：1、如何知道从用户哪个账户里扣款？第一次使用时，用户要经历一个授权的过程。以用户在京东上购物为例，用户下单支付时，选择“xx支付”时，京东系统判断该用户是第一次使用“xx支付公司的服务”，就会让用户的浏览器跳转到xx支付公司的授权页面，授权页面首先要求用户输入用户名和登录密码登录，然后选择授权的账户（一般的支付网站的用户都有多个账户，例如：支付公司的账户余额、银行卡、预付费卡等），并选择授权的额度，最后根据授权的账户输入相关的信息（如果是支付公司的账户余额，则输入支付密码；如果是预付费卡，则输入卡号密码等；如果是信用卡，则根据各家银行的规定输入卡号、有效期、CVV2等）。完成授权后，用户下次在京东支付订单时，就无需跳转到xx支付公司页面，再来输入这些支付信息了。2、商户恶意扣款怎么办？用户授权后，扣款请求都是从商户端发起的，理论上商户能恶意的发起从用户账户扣款，这种情况怎么办？其实这个问题是接口权限开放程度的问题，可以从一下三个方面的控制：根据不同商户的诚信程度，给予不同的权限。例如是保险公司的扣款，支付公司可以采取完全信任的方式；如果是小规模的B2C网站，支付公司可能要求验证用户的支付密码；根据交易金额的大小，给予不同的权限；例如是单笔金额都是一元以内的小额支付，支付公司可以采取不需验支付密码的方式；如果是单笔金额上百元，则支付公司可能需要验证用户的支付密码；和商户签署协议，一旦遇到用户投诉，商户需承担先行赔付。将风险转嫁给商户；总之，代扣这个服务的风险远远高于其它支付方式，对商户的资质审核要求更严格。3、用户如何取消授权？支付公司网站应该提供一个地方给用户查看自己所有的授权，包括：授权方、授权的单笔金额（或总金额等）、授权时间。同时，应该提供用户取消授权的操作。用户取消授权后，商户就不能再给用户提供一键支付的服务了。4、遇到用户恶意投诉怎么办？当遇到用户投诉说“在XX网站上的某笔交易根本就不是我发起的”。我想，从技术上是无法判断用户是否撒谎。但可以从业务的角度来规避这些风险：用户首次使用时，在商户的网站上给出强提示，提示用户可能存在的风险，并要求用户签署相关协议；用户在支付公司也没签署授权的时候，必须强提示用户可能存在的风险；用户的任何一笔授权交易发生时，都给用户绑定的手机和邮箱发送提醒消息；代扣的服务估计退款率要高于一般的支付方式，从支付公司的角度来看，可能会收取商户更高的服务费。这个商户也可以接受，毕竟这种支付方式能提高用户的付款成功率。写在最后，这种授权的支付模式极大的简化了用户的支付流程，也将提高商户的支付成功率，但对支付公司提出了更高的要求。在《SteveY对Amazon和Google平台的长篇大论》中SteveY狠狠的喷googl不懂如何做平台，他提到“Google+这个平台是个杯具的事后抄袭者。我们在发布它的时候完全没有任何API。我查了一下，目前也只有少得可怜的API。”。其实支付公司也有这样的问题，提供的API太少！在“安全”大旗的保护下，很多支付公司墨守成规。1 Comment关于斯凯by 谢朝晔 on 3/12/2010后知后觉，我今年年初才开始关注斯凯。他是一家闷声发财的手机中间平台公司，最近相传它开始IPO。它的运营模式这张图基本上概括得很清楚，模式和另一家神奇的雨林木风（电脑城里最畅销的XP系统）很相似。斯凯具体运营数据如下：“终端用户带来的增值收入中，中国移动先拿走15%，剩下的85%中SP再拿走15%，留下的收入再由CP和斯凯间三七开分成；斯凯拿到大头后还要与预装其平台的手机厂商分成，而CP在去除坏账和税收等问题后，最后到手收入约占价值链整体的15%至18%。”截止2010年9月30日，440家手机制造商内置了斯凯平台，该平台共计提供770种应用，已与230多家内容提供商签订提供内容协议，内容资源已达到61000，下载次数累计高达36亿，2010年9月30日当季，斯凯应用平台营收1.58亿元人民币。今天和同事聊到斯凯，我觉得接下来斯凯会遇到两个问题：1、是联发科也顺应android的大潮，将会不断推出基于android的手机，斯凯能不能继续抓住android这波大潮？2、QQ开始在手机端发力了，斯凯如何应对腾讯的大招？我不太相信腾讯会和斯凯能有深度的、长期的、友好的合作。2 Comments开放之路-关于OAuthby 谢朝晔 on 2/12/2010今天这个话题和技术性相关，不正确的请各位DX指正。OAuth是一个协议，目的是为用户授权别人访问自己API服务提供的一种标准。如果大家都遵守这种标准，那我们就非常方便授权别人访问我们自己的一些资源。举个例：典型案例：如果一个用户拥有两项服务：一项服务是图片在线存储服务A，另一个是图片在线打印服务B。由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再去服务A处下载待打印的图片，这种方式效率是提高了，但是安全性大大降低了，服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。抄这里的。而通过OAuth则能方便的解决这个问题，用户在使用服务B时，会跳转到服务A网站去进行授权，一旦授权成功，则服务B网站以后都可以直接调用服务A网站中用户的资源。根据说明，自己整了一张图。现在很多网站都支持OAuth，