这是支付宝的 Feature ?

2021-11-02 09:45:18 +08:00
 500

背景

前些天换了手机,最近一直在新旧两部手机交替使用。使用支付宝时遇到了下述的问题,保险起见这几天一直在留意,初步判断不是偶发事件。

设备

操作流程

  1. 旧手机登录支付宝

  2. 新手机登录支付宝

    注意: 在新手机登录支付宝后不要在旧手机打开支付宝
    正常情况下因为 单点登录 的缘故,这时候如果在旧手机打开支付宝会弹出下线通知:已在其它设备登录,请重新登录

  3. 在旧手机上打开美团

    随意选购一些商品,然后 提交订单,选择 支付宝支付,这时候会出现三种情况:

    1. 直接弹出 下线通知 提示框
    2. 直接弹出 确认支付 窗口
    3. 先弹出 下线通知 提示框,再弹出 确认支付 窗口

    对于情况 1 可以按 底部菜单键 切到 美团 这时候就会弹出 确认支付 窗口。

  4. 进行支付

    在前一步的 1 、2 、3 情况下点击 确认支付 按钮都可以弹出密码输入框,并支付成功。

  5. 后续

    支付完成后再次打开支付宝,弹出下线通知:已在其它设备登录,请重新登录
    支付完成后不打开支付宝,再次尝试上述操作不再弹出 确认支付 窗口。

  6. 我的疑虑

    1. 不知道这是个别现象还是普遍存在?
    2. 这是一个 单点登录的 Bug 还是一个 快捷支付的 Feature
    3. 有没有危害性(后续支付宝会不会调整)?
  7. 补充

    支付宝有一个使用 账号支付密码 进行支付的服务,中国联通网页版话费充值就使用了这种方式。

2823 次点击
所在节点    分享发现
10 条回复
v2ka
2021-11-02 10:11:32 +08:00
绕来绕去实在没看太懂......感觉不算啥安全问题。

因为你登陆新设备,都是需要授权的,比如短信验证。

论证两端支付的安全问题,就像论证两把一样的钥匙,哪把是原配一样,无此必要。

-END-
BrettD
2021-11-02 10:12:59 +08:00
@v2ka 楼主意思应该是新设备登录后旧设备就不应该被允许支付
yanyumihuang
2021-11-02 11:03:51 +08:00
你难道没用过支付宝的网页版吗,网页一直都输入账号和支付密码支付的。你银行卡丢了,只要你密码没丢,谁能把你的钱取走。这一样的道理。保护好支付密码
500
2021-11-02 11:37:09 +08:00
@BrettD 是这样的
@yanyumihuang 关注点是单点登录,要么不做单点登录,要么在支付之前触发,而不是在一次支付之后才要求登录

按现在的现象来说,支付宝的登录失效也许不是从服务端失效,而是客户端得知账号在新设备登录之后删除了保存在本地的票据。
又可能支付的时候没有验证登录状态,而只是核实支付密码。
cky
2021-11-02 13:09:53 +08:00
单点登录?你是想说单设备登录吧
yanyumihuang
2021-11-02 13:33:40 +08:00
@500 我是经常用这个的。咸鱼在平板上,支付宝在手机上,现在这个情况,我就不用每次买东西要登录一下支付宝了。直接支付密码就行。我觉得没有安全风险。
WebKit
2021-11-02 21:01:55 +08:00
应该是针对设备做了安全认证。而且支付宝也是有网页版的。
2i2Re2PLMaDnghL
2021-11-02 21:32:58 +08:00
可能是同时有仅允许单设备的登录 token ,和一次性的支付 token ,后者可能是为了在断网情况下仍然能够支付、或者网络不是很好的时候能够尽快处理而存在的。

显然,业务逻辑状态机分析时很可能没意识到这个点,看上去最可能的是一个 feature 的 side effect 。
john6lq
2021-11-03 11:09:23 +08:00
真是啥都操心,官方都说了“敢付敢赔,如果被盗全额赔付”。
500
2021-11-03 20:34:44 +08:00
@john6lq 感谢扩充 Block

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/812341

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX