我使用一件东西销售并使用付款的应用是Google Pay。 Google Pay中有两种类型的令牌化方法。我参考了Google工资单。但这很难理解。
有直接令牌化方法。
1)如何集成直接令牌化?。
2)什么是PCI DSS合规性?
3)什么是公钥以及如何进行加密和解密过程?
对于上下文,有两种与Google Pay集成的方法:
推荐使用PSP方法,因为合作伙伴PSP负责管理用户的付款凭证,并且与PCI and DSS compliance挂钩。
使用DIRECT集成方法,您必须承担PCI合规性义务,并且需要向Google提供您PCI compliant的证据:
[如果完成DIRECT
tokenizationSpecification
类型集成,则您必须每年通过Google Pay开发人员资料轮换您的公共加密密钥,并向Google提供PCI证明。 PCI证明可以由PCI Security Standards Council认证的第三方或合格的安全评估员提交,并由Approved Vendor或Qualified Assessor批准。
返回实际问题:
[通过DIRECT集成,Google Pay将使用您在Google Pay developer console中提供的公共密钥(必须为signed up as a merchant才能访问此页面)和付款请求来加密用户的付款详细信息。然后,您将获取加密的有效负载并使用私钥对其进行解密。
有关如何管理加密和解密的信息,可在此处找到:https://developers.google.com/pay/api/android/guides/resources/payment-data-cryptography#using-openssl
重要位:
# generate private key openssl ecparam -name prime256v1 -genkey -noout -out key.pem # generate a base64-encoded public key openssl ec -in key.pem -pubout -text -noout 2> /dev/null | grep "pub:" -A5 | sed 1d | xxd -r -p | base64 | paste -sd "\0" -
可在以下位置找到有关PCI合规性的良好信息:https://www.pcicomplianceguide.org/faq/
FYI,我在这里提供了类似的答案,并详细介绍了整个过程:Where is Google pay Developer account and how to generate public key to upload in it?