使用 Apple Pay 用卡付款
Apple Pay 可用來在商店、App 內和網站上購買商品。
在商店使用卡付款
如果 iPhone 或 Apple Watch 已開機且偵測到 NFC 磁場,以及如果 Apple Wallet 已設定為預設的付款和免觸式 App,裝置便會向用户顯示要求的卡(如該卡已開啟自動選取功能),或顯示來自 Apple 「銀包」的預設卡(在「設定」中管理)。用户也可前往 Apple「銀包」並選擇卡,或當裝置鎖定時,可以:
在配備 Face ID 的裝置上按兩下側邊按鈕(如 Apple「銀包」為預設 App)
在配備 Touch ID 的裝置上按兩下主畫面按鈕(如 Apple「銀包」為預設 App)
使用允許從鎖定畫面支付 Apple Pay 的輔助使用功能
接著,在傳輸資料之前,用户必須確認其付款意圖並使用下列其中一個方式認證自己的身份:
生物識別認證
裝置密碼
按兩下已解鎖 Apple Watch 的側邊按鈕
所有付款資料皆需經過用户認證始得發送。
用户身份驗證完成後,系統會使用「裝置帳户號碼」和唯一的安全碼來處理付款。無論是 Apple 還是用户的裝置,皆不會與商户共享完整的卡號。不過,Apple 可能會取得匿名資料,例如交易時間和地點。此資訊有助改進 Apple Pay 和其他 Apple 服務。
在 App 內使用卡付款
Apple Pay 也可以用來在 iOS、iPadOS、macOS、watchOS 和 visionOS App 內進行付款。當用户在 App 內使用 Apple Pay 付款時,Apple 會收到加密的交易資料以傳給用户對其付款的特定開發者或商户。在該資料傳送給開發者或商户前,Apple 會以開發者特定密鑰再次加密該交易。這是為了協助確保只有擁有密鑰配對的授權開發者可以解密資料。Apple Pay 會保留匿名的交易資料,例如約略購買金額。此資料無法用來追蹤用户,且絕不包含用户購買的商品資料。
除了在商店中使用 Apple Pay 之外,還可以在 iOS、iPadOS、macOS、watchOS 和 visionOS App 中使用 Apple Pay。當用户在 App 內付款時,Apple 會取得加密的交易資料。然後 Apple 會將這些資料傳送給正確的開發者或商户。在傳送資料前,Apple 會使用開發者專用密鑰重新加密資料。這可以確保只有授權的開發者才能進行存取這項資料。Apple Pay 會保留匿名資料,例如購買金額。不過這項資料不會與用户連結,也不會透露用户購買了什麼。
當 App 開始進行 Apple Pay 付款交易時,Apple Pay 伺服器會比商户先收到來自裝置的加密資料。Apple Pay 伺服器接着會以商户特定密鑰將交易再次加密,才會將交易傳遞給商户。
當 App 要求付款時,會呼叫 API 以判別裝置是否支援 Apple Pay,以及用户所使用的信用卡或扣帳卡是否可在商户認可的付款網絡上進行付款。App 會要求取得所需的資料,以處理及完成交易,例如帳單和送貨地址,以及聯絡資料。App 接着會要求 iOS、iPadOS、macOS、watchOS 或 visionOS 出示 Apple Pay。接著,此表單會要求 App 的資料和其他必要的資料,例如要使用的卡。
此時,系統已向 App 提供城市、區和郵政編碼等資料以計算最終運費。直到用户使用以下其中一個方式授權付款,所要求的全部資料才會提供給 App:
生物識別認證
裝置密碼
按兩下已解鎖 Apple Watch 的側邊按鈕
付款一經授權,Apple Pay 表單內出示的資料便會傳送給商户。
在「輕巧版 App」內用卡付款
「輕巧版 App」是 App 的一小部份,可讓用户快速執行操作(如租借單車、支付泊車費等),不需要下載完整 App。如「輕巧版 App」支援付款功能,用户可以「使用 Apple 登入」(如果 App 開發者已設定),然後使用 Apple Pay 進行付款。當用户在「輕巧版 App」內進行付款,所有安全和私隱保護措施都與在一般 App 中付款相同。
用户授權以及商户驗證 App 付款的方式
用户和商户可透過將資料傳遞至 Apple Pay 伺服器、Secure Element、裝置和 App 的 API,確保 App 付款安全無虞。首先,用户授權 App 付款。然後 App 會向 Apple Pay 伺服器要求加密編譯反重播值。伺服器會將此值和其他交易資料傳送到製作付款憑證的 Secure Element,此付款憑證會以 Apple 密鑰進行加密。Secure Element 接着會將付款憑證傳回 Apple Pay 伺服器以進行解密、根據 Apple Pay 伺服器最初傳送的反重播值驗證其反重播值,然後透過商户密鑰重新加密。然後伺服器會將付款傳回裝置,再由裝置傳回 App API,讓 API 傳遞至商户系統進行處理。最後,商户會驗證付款憑證以確認交易。
API 會要求「商户 ID 授權」,此授權是用來指定支援的「商户 ID」。App 也可能包含要傳送至 Secure Element 進行簽署的其他資料(例如訂單號碼或客户身份),以確保交易無法轉移到其他客户。此程序需由 App 開發者執行,其能指定付款要求上的應用程式專屬資料(applicationData)。此資料的雜湊值會包含在加密的付款資料中。商户接着會負責驗證其 applicationData 雜湊值是否與付款資料內包含的雜湊值相符。
在網站上使用卡付款
你可以使用下列裝置透過 Apple Pay 在網站進行付款:
使用生物識別認證的裝置
Apple Watch
配備 Apple 晶片且使用配備 Touch ID 之精妙鍵盤的 Mac 電腦
Apple Pay 交易也可在 Mac 上進行,並在使用相同 iCloud 帳户且已啟用 Apple Pay 的 iPhone 或 Apple Watch 上完成。如用户透過此方式傳送付款相關資料,Apple Pay 的「接手」功能會使用點對點的加密 Apple 識別服務(IDS)通訊協定,在用户的 Mac 與授權裝置間傳輸付款的相關資料。Mac 上的 IDS 用户端會利用用户的裝置密鑰來執行加密,因此任何其他裝置皆無法解密此資料。這些密鑰不會提供予 Apple。
為 Apple Pay「接手」進行的裝置搜尋包含用户信用卡的類型與唯一識別碼,以及部份後設資料。用户卡的「裝置帳户號碼」不會共享,且會安全地繼續保留在用户的 iPhone 或 Apple Watch 上。Apple 也會透過「iCloud 鑰匙圈」安全地傳送用户最近使用過的聯絡資料、送貨及帳單地址。
用户授權付款後,針對每個網站商户憑證進行專屬加密的付款代號就會安全地從用户的 iPhone 或 Apple Watch 傳輸到他們的 Mac,然後傳遞到商户的網站。
附註:只有鄰近的裝置可要求和完成付款。鄰近位置是透過低耗電藍牙(BLE)廣播來加以判定。
網絡上的 Apple Pay 服務亦會要求所有參與的網站向 Apple 註冊。網域註冊後,只會在 Apple 核發 TLS 用户端憑證後,才執行網域名稱驗證。支援 Apple Pay 的網站需要:
透過 HTTPS 來提供內容服務
使用 Apple 發出的 TLS 用户端證書來向 Apple 伺服器為每次付款交易取得安全且唯一的商户作業階段
商户作業階段資料則會由 Apple 加以簽署。商户作業階段簽署經過驗證後,網站便可查詢用户是否具有支援 Apple Pay 的裝置,以及這些裝置上是否已啟用信用卡、扣帳卡或預付卡。任何其他細節皆不會共享。如果用户不想要共享此資料,他們可以在 iPhone、iPad 和 Mac 裝置上的 Safari 私隱設定中停用 Apple Pay 查詢。
如果網站使用最新版本的 Apple Pay JS SDK,則用户也可以在任何作業系統上使用任何第三方網頁瀏覽器啟動 Apple Pay 交易,並在安裝 iOS 18、iPadOS 18 或較新版本並支援 Apple Pay 的 iPhone 或 iPad 上完成交易。為進行此操作,用户必須使用裝置的相機掃描代碼來與網站建立連線。當網站顯示此代碼時,網站和 Apple 伺服器之間就會建立安全的 WebSocket 連線。掃描此代碼後,支援 Apple Pay 的裝置和 Apple 伺服器之間會建立一個額外的獨立保安 WebSocket 連線。這樣就能使用 Apple 的伺服器作為中繼站來完成網站和支援 Apple Pay 的裝置之間所需的雙向連線。之後這兩方之間進行的任何通訊均會遵循 Apple Pay 網絡交易的一般流程進行。
商户作業階段經過驗證後,所有私隱與保安措施皆與用户在 App 內付款時相同。
自動付款與商户代號
安裝 iOS 16、iPadOS 16、macOS 13 或較新版本的裝置可以使用 Apple Pay 商户代號,該代號可確保在用户的所有裝置上都能安全付款。更新版 Apple Pay 付款表單也將預先授權付款最佳化。Apple Pay API 亦支援新的交易類型,讓開發者可以為特定用途自訂付款表單,例如訂閲項目、定期帳單、分期付款,以及自動重新載入卡餘額。
商户代號並非裝置專屬,因此如果用户從裝置除特定付款卡,還是可進行持續定期付款。
付款給多個商户
在 iOS 16 或較新版本中,Apple Pay 提供新功能,可在單一 Apple Pay 付款表單中指定多個商户的購買金額。這可為客户帶來彈性,讓他們能一次購買搭售商品,例如包括航班、租車服務和酒店的旅遊套票,然後再分別付款給不同商户。