使用 Apple Pay 用卡付款
Apple Pay 可用來在商店、App 內和網站上購買商品。
在商店使用卡付款
如果 iPhone 或 Apple Watch 已開機且偵測到 NFC 磁場,便會向用户顯示要求的卡(如該卡已開啟自動選取功能),或顯示「設定」中管理的預設卡。用户也可前往 Apple「銀包」並選擇卡,或當裝置鎖定時,可以:
在配備 Face ID 的裝置上按兩下側邊按鈕
在配備 Touch ID 的裝置上按兩下主畫面按鈕
使用允許從鎖定畫面支付 Apple Pay 的輔助使用功能
接着,在發送付款資料前,用户必須使用 Face ID、Touch ID 或其密碼來授權。當 Apple Watch 解鎖時,按兩下側邊按鈕來啟用付款的預設卡。所有付款資料皆需經過用户認證始得發送。
用户認證完成後,在處理付款時便會使用「裝置帳户號碼」和因交易而異的動態安全碼。無論是 Apple 或用户的裝置,皆不會將完整的信用卡或扣帳卡號碼傳送給商户。Apple 可能會接收到匿名的交易資料,如交易的大約時間和位置,這可協助改進 Apple Pay 及其他的 Apple 產品和服務。
在 App 內使用卡付款
Apple Pay 也可以用來在 iOS、iPadOS、macOS 和 watchOS App 內進行付款。當用户在 App 內使用 Apple Pay 付款時,Apple 會收到加密的交易資料以傳給開發者或商户。在該資料傳送給開發者或商户前,Apple 會以開發者特定密鑰再次加密該交易。Apple Pay 會保留匿名的交易資料,例如約略購買金額。此資料無法用來追蹤用户,且絕不包含用户購買的商品資料。
當 App 開始進行 Apple Pay 付款交易時,Apple Pay 伺服器會比商户先收到來自裝置的加密資料。Apple Pay 伺服器接着會以商户特定密鑰將交易再次加密,才會將交易傳遞給商户。
當 App 要求付款時,會呼叫 API 以判別裝置是否支援 Apple Pay,以及用户所使用的信用卡或扣帳卡是否可在商户認可的付款網絡上進行付款。App 會要求取得任何所需的資料,以處理及完成交易,例如帳單和送貨地址,以及聯絡資料。App 接着會要求 iOS、iPadOS、macOS 或 watchOS 出示 Apple Pay 表單,其會要求 App 的資料以及其他必要資料,例如要使用的卡。
此時,系統已向 App 提供城市、區和郵政編碼等資料以計算最終運費。直到用户以 Face ID、Touch ID 或裝置密碼授權付款,所要求的全部資料才會提供給 App。付款一經授權,Apple Pay 表單內出示的資料便會傳送給商户。
在「輕巧版 App」內用卡付款
「輕巧版 App」是 App 的一小部份,可讓用户快速執行操作(如租借單車、支付泊車費等),不需要下載完整 App。在支援付款功能的「輕巧版 App」中,用户可以「使用 Apple 登入」,然後使用 Apple Pay 進行付款。當用户在「輕巧版 App」內進行付款,所有安全和私隱保護措施都與在一般 App 中付款相同。
用户授權以及商户驗證 App 付款的方式
用户和商户可透過將資料傳遞至 Apple 伺服器、Secure Element、裝置和 App 的 API,確保 App 付款安全無虞。首先,當用户授權 App 付款,App 會呼叫 Apple Pay 伺服器以取得加密編譯反重播值。伺服器會將此值和其他交易資料傳送到 Secure Element 以計算付款憑證,此付款憑證會以 Apple 密鑰進行加密。Secure Element 接着會將付款憑證傳回 Apple Pay 伺服器以進行解密、根據 Apple Pay 伺服器最初傳送的反重播值驗證其反重播值,然後透過「商户 ID」綁定的商户密鑰重新加密。然後 Apple 伺服器會將付款傳回裝置,再由裝置傳回 App API,讓 API 傳遞至商户系統進行處理。商户會解密付款憑證以驗證其為正確的交易接收者。
API 會要求一項授權,此授權用來指定支援的「商户 ID」。App 也可能包含要傳送至 Secure Element 進行簽署的其他資料(例如訂單號碼或客户身份),以確保交易無法轉移到其他客户。此程序需由 App 開發者執行,其能指定 PKPaymentRequest 上的 applicationData。此資料的雜湊值會包含在加密的付款資料中。商户接着會負責驗證其 applicationData 雜湊值是否與付款資料內包含的雜湊值相符。
在網站上使用卡付款
你可在 iPhone、iPad、Apple Watch 以及 Mac 電腦(配備 Touch ID)上,使用 Apple Pay 在網站進行付款。Apple Pay 交易也可在 Mac 上進行,並在使用相同 iCloud 帳户且已啟用 Apple Pay 的 iPhone 或 Apple Watch 上完成。
網絡上的 Apple Pay 服務會要求所有參與的網站向 Apple 註冊。網域註冊後,只會在 Apple 核發 TLS 用户端憑證後,才執行網域名稱驗證。支援 Apple Pay 的網站需要透過 HTTPS 來提供內容服務。針對每次付款交易,網站需要使用 Apple 發出的 TLS 用户端證書來向 Apple 伺服器取得安全且唯一的商户作業階段。商户作業階段資料則會由 Apple 加以簽署。商户作業階段簽署經過驗證後,網站便可查詢用户是否具有支援 Apple Pay 的裝置,以及這些裝置上是否已啟用信用卡、扣帳卡或預付卡。任何其他細節皆不會共享。如果用户不想要共享此資料,他們可以在 iPhone、iPad 和 Mac 裝置上的 Safari 私隱設定中停用 Apple Pay 查詢。
商户作業階段經過驗證後,所有私隱與保安措施皆與用户在 App 內付款時相同。
如用户將付款相關資料從 Mac 傳送到 iPhone 或 Apple Watch,Apple Pay 的「接手」功能會使用點對點的加密 Apple 識別服務(IDS)通訊協定,在用户的 Mac 與授權裝置間傳輸付款的相關資料。Mac 上的 IDS 用户端會利用用户的裝置密鑰來執行加密,因此任何其他裝置皆無法解密此資料,而這些密鑰不會提供予 Apple。為 Apple Pay「接手」進行的裝置搜尋包含用户信用卡的類型與唯一識別碼,以及部份後設資料。用户卡的「裝置帳户號碼」不會共享,且會安全地繼續保留在用户的 iPhone 或 Apple Watch 上。Apple 也會透過「iCloud 鑰匙圈」安全地傳送用户最近使用過的聯絡資料、送貨及帳單地址。
用户使用 Face ID、Touch ID 或密碼,或在 Apple Watch 上按兩下側邊按鈕來授權付款後,針對每個網站商户憑證進行專屬加密的付款代號就會安全地從用户的 iPhone 或 Apple Watch 傳輸到他們的 Mac,然後傳遞到商户的網站。
只有鄰近的裝置可要求和完成付款。鄰近位置是透過低耗電藍牙(BLE)廣播來加以判定。
自動付款與商户代號
在 iOS 16 或較新版本中,提供 Apple Pay 功能的 App 和網站可使用 Apple Pay 商户代號,確保在用户的所有裝置上都能安全付款。iOS 16 中的更新版 Apple Pay 付款表單也將預先授權付款體驗最佳化。Apple Pay API 的新交易類型讓 App 和網站開發者能微調訂閲項目、定期帳單、分期付款的付款表單體驗,以及自動重新載入卡餘額。
商户代號並非裝置專屬,因此如果用户從裝置除特定付款卡,還是可進行持續定期付款。
付款給多個商户
在 iOS 16 或較新版本中,Apple Pay 提供新功能,可在單一 Apple Pay 付款表單中指定多個商户的購買金額。這可為客户帶來彈性,讓他們能一次購買搭售商品,例如包括航班、租車服務和酒店的旅遊套票,然後再分別付款給不同商户。