手机版 AlipayAPP 的声波支付可以不联网支付，且无需确认

我发现每次网上社区有质疑支付宝的帖子，开始时的回帖大多是附和楼主、吐糟马云的，过了几个小时，这帖子如果火了，吐糟的更多了，那风向马上会变，一大波 ID 会从各方面来论证楼主是傻子，理论上各种穿凿附会，将楼主贬得一无是处！在知乎和天涯，我已经遇到过多次了，今天又是这感觉。。。。

声波支付的频段正常人是听不到的，啾啾啾的声音只是为了好听而已。

@pmpio 因为第一时间回帖的大多都没有好好思考，之后来的那些摆事实讲道理的看到了肯定会反对呀。

@wm5d8b 你这 ID 好有趣，五毛 5 天 8 镑？

@pmpio 五毛 5 天 8 镑是什么鬼。。这个是过渡时期创造的 ID ，从其他编码转换过来的。因为 V2EX 不能改 ID ，就保留了咯

为什么不能就事论事......有些人就喜欢喜欢吵架哗众取宠

虽然没研究过 但可以设想下这样做...
开通声波支付得到一个声波支付的 ID
支付时声波包含 ID+时间戳+随机交易号 给服务端，服务端处理完交易就关闭了，你再用这段声波去支付由于交易号已经使用所以不能再用也就是一次性的，付款后拍屁股走人完全没安全问题。
声波支付可以不包含任何账户信息和密码。

@xgowex 售卖机，关闭网络能成功

@xgowex 但是试了一下录制，设备识别不了的，而且那个声音应该有有效期吧。

@xgowex 扫码也不需要确认的，商店先扫描商品然后再扫描码，交易完成

先不说支付宝这个问题我怎么觉得 v2 的人越来越杂了，我现在基本都不怎么逛 v2 了老是黑和喷实在无语，自从回到国内后越来越不如以前了

这种事情靠猜或常识是没有用的，就跟你像乌云提交漏洞一样，不仅要发现，还要能测试成功，成果还不算完，还要能重放。
LZ 在不了解背后机制的前提下，凭主观推断有问题，然后又做了思想实验，就指责别人的做法不安全。
你有任何实证能够证明这种方法是不安全的？你有自己做过实验证明这种方法是不安全的?

这个可以成为一个面试题……
设计一个流程，支持上面说的这种手机离线甚至双方离线时还能安全或者尽量安全地支付，考量安全性和用户体验…

你的前在支付宝眼里不过是一个数字，从左手到右手，何来不安全哦。

@Coxxs 这个漏洞和之前录制汽车钥匙的是一样的，前提比较苛刻

一方面是录的时候要保证是没支付过的，
第二是录下来的只能使用一次

感觉声波支付就像是两次验证的简化版（无需原密码验证）验证码生成器。
0 、打开声波就像的生产的一个 Token （最终声音还是会转换成 Token ）
1 、 Token 肯定有有效期
2 、客户端算法和服务端算法一致，支持离线验证。
3 、大家都知道两步验证目前还挺靠谱的吧？至少比直接输密码还要靠谱多。

应该至少有一方是在线的。但理论上应该可以做到双方都支持离线

1 、利用蓝牙近场通讯
2 、钱包必须是唯一的，同时只能绑定一个设备，先充值后使用。

这种需求应该不多，那就像现金交易一样了，但还缺乏相关法律法规监管，也只适合小额。。。

那个自动售货机，不联网没法工作的……没人关心下这一环么

题主你想多了，刚好做过风控 PM ，来答一下你以及一并解答回答里冒出的一些问题。以下声波支付主要针对支付宝的。

1 、关于「羞羞羞」：声波支付的确是利用声波为信息载体，不过不是那个「羞羞羞」的声音，这个声音是装饰用的，真正的用于承载信息的声音，人耳基本听不见。
2 、关于网络：声波支付需要收款方具备联网环境，以对接云端分析声源新号（因为降噪需要计算），所以无需声源方（一般是付款人）具备联网环境。但是考虑到安全，一般这种情况需要收款方具备商户资质，也就是说题主这种情况可以（收款方是贩卖机），但是两个人拿手机声波收付款，则要求双方必须都具备联网环境（因为双方都是个人用户）。允许一方脱机纯粹是为了用户体验，比如贩卖机多布设于地铁，一般常人都知道，地铁上新号不是很好，因此不要求付款方的网络环境有利于交易达成。
3 、关于复制：不好意思，题主，你天真了。声波背后的数据信息是经过加密处理，保证唯一性、时效性的，你能复制声音并且盗用成功的情况下，真正的发声源必须就在边上，因为失效时间真的 非！常！短！所以，你要尝试复制的话你有时间可以玩玩，只不过告诉你结果就是这样。
4 、关于原理：支付宝的复杂些，简单点的请看： http://rest.sinaapp.com/?a=technology 。额外需要说的是声波的传输效率不高，所以支付宝的声波支付将关键信息压缩后形成很小的数据让声音作为载体传输。
5 、关于安全：声波支付有小额支付限制，还配套风控体系，以及资金被盗保护机制。这些信息一部分官方已经说明。