这是一个创建于 1100 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景
前些天换了手机,最近一直在新旧两部手机交替使用。使用支付宝时遇到了下述的问题,保险起见这几天一直在留意,初步判断不是偶发事件。
设备
- 旧手机:Samsung Note 8
- 新手机:Samsung Note 20 Ultra
操作流程
-
旧手机登录支付宝
-
新手机登录支付宝
注意: 在新手机登录支付宝后不要在旧手机打开支付宝
正常情况下因为 单点登录 的缘故,这时候如果在旧手机打开支付宝会弹出下线通知:已在其它设备登录,请重新登录。 -
在旧手机上打开美团
随意选购一些商品,然后 提交订单,选择 支付宝支付,这时候会出现三种情况:
- 直接弹出 下线通知 提示框
- 直接弹出 确认支付 窗口
- 先弹出 下线通知 提示框,再弹出 确认支付 窗口
对于情况 1 可以按 底部菜单键 切到 美团 这时候就会弹出 确认支付 窗口。
-
进行支付
在前一步的 1 、2 、3 情况下点击 确认支付 按钮都可以弹出密码输入框,并支付成功。
-
后续
支付完成后再次打开支付宝,弹出下线通知:已在其它设备登录,请重新登录。
支付完成后不打开支付宝,再次尝试上述操作不再弹出 确认支付 窗口。 -
我的疑虑
- 不知道这是个别现象还是普遍存在?
- 这是一个 单点登录的 Bug 还是一个 快捷支付的 Feature ?
- 有没有危害性(后续支付宝会不会调整)?
-
补充
支付宝有一个使用 账号 和 支付密码 进行支付的服务,中国联通网页版话费充值就使用了这种方式。
 |
1
v2ka 2021-11-02 10:11:32 +08:00
绕来绕去实在没看太懂......感觉不算啥安全问题。
因为你登陆新设备,都是需要授权的,比如短信验证。 论证两端支付的安全问题,就像论证两把一样的钥匙,哪把是原配一样,无此必要。 -END- |
 |
3
yanyumihuang 2021-11-02 11:03:51 +08:00
你难道没用过支付宝的网页版吗,网页一直都输入账号和支付密码支付的。你银行卡丢了,只要你密码没丢,谁能把你的钱取走。这一样的道理。保护好支付密码
|
 |
4
500 OP @BrettD 是这样的
@yanyumihuang 关注点是单点登录,要么不做单点登录,要么在支付之前触发,而不是在一次支付之后才要求登录 按现在的现象来说,支付宝的登录失效也许不是从服务端失效,而是客户端得知账号在新设备登录之后删除了保存在本地的票据。 又可能支付的时候没有验证登录状态,而只是核实支付密码。 |
 |
5
cky 2021-11-02 13:09:53 +08:00 via iPhone
单点登录?你是想说单设备登录吧
|
|
6
yanyumihuang 2021-11-02 13:33:40 +08:00 via Android
@500 我是经常用这个的。咸鱼在平板上,支付宝在手机上,现在这个情况,我就不用每次买东西要登录一下支付宝了。直接支付密码就行。我觉得没有安全风险。
|
 |
7
WebKit 2021-11-02 21:01:55 +08:00 via Android
应该是针对设备做了安全认证。而且支付宝也是有网页版的。
|
 |
8
2i2Re2PLMaDnghL 2021-11-02 21:32:58 +08:00
可能是同时有仅允许单设备的登录 token ,和一次性的支付 token ,后者可能是为了在断网情况下仍然能够支付、或者网络不是很好的时候能够尽快处理而存在的。
显然,业务逻辑状态机分析时很可能没意识到这个点,看上去最可能的是一个 feature 的 side effect 。 |
 |
9
john6lq 2021-11-03 11:09:23 +08:00
真是啥都操心,官方都说了“敢付敢赔,如果被盗全额赔付”。
|
Select Language