Магия ссылок системы быстрых платежей27.05.2024 15:45

Всем привет! Меня зовут Татьяна, я Android-разработчик в НСПК. С 2023 года я стала частью команды Мир Plat.Form, где с головой погрузилась в мир платежных ссылок и их многогранное применение. В этой статье я хочу подробно рассказать о том, как работают платежные ссылки, поделиться своим опытом и развеять возможные мифы, связанные с ними.

Вступление

Ссылки — это нечто, что мы часто воспринимаем как обыденное: мы кликаем на них каждый день, не задумываясь о том, как они работают. Но в контексте платежных систем они приобретают особое значение.

Когда речь заходит о платежных ссылках, они становятся ключевым элементом системы быстрых платежей. Эти ссылки позволяют пользователям легко и безопасно совершать платежи напрямую из браузера или мобильного приложения, без необходимости вводить данные карты или проходить авторизацию.

Также, платежные ссылки представляют важную роль в мобильных приложениях — это глубокие ссылки. Они позволяют пользователям с легкостью и точностью обеспечивать быстрый доступ к конкретным экранам или функциям приложений.

В этой статье рассмотрим:

1. Пользовательский взгляд: Почему платежные ссылки так важны и каким образом происходит оплата с точки зрения пользователя при использовании различных сценариев оплаты через СБП

2. Платежные ссылки под капотом: виды ссылок и их особенности. Рассмотрим работу платежных ссылок с технической точки зрения, что будет полезно для разработчиков, желающих интегрировать наши решения для оплаты через СБП

3. Что может пойти не так: подчеркиваем важность нюансов о ссылках

1. Пользовательский взгляд

Почему платежные ссылки так важны?

Что такое платежные ссылки? Платежные ссылки — это уникальные адреса, которые содержат в себе информацию о платеже, включая сумму, получателя и другие необходимые данные. Пользователь, перейдя по такой ссылке, может легко и быстро совершить оплату с помощью своего смартфона или компьютера.

Платежные ссылки — это не просто инструмент для оплаты, а важный элемент современной электронной коммерции. Они делают процесс совершения покупок более удобным, быстрым и безопасным, что способствует развитию онлайн и оффлайн-платежей и стимулирует рост экономики.

Преимущества использования платежных ссылок:

• Удобство: Оплата по ссылке не требует ввода данных банковской карты, что значительно экономит время и усилия пользователя

• Быстрота: Оплата осуществляется практически мгновенно, без задержек и дополнительных подтверждений

• Универсальность: Платежные ссылки можно использовать в различных сферах, от интернет-магазинов до онлайн-сервисов и благотворительных организаций

• Безопасность: Все платежи по ссылкам проходят через защищенные каналы, что гарантирует безопасность информации

Где используются платежные ссылки?

Платежные ссылки нашли широкое применение в различных областях электронной коммерции:

• Мобильные приложения: интеграция ссылок в приложения позволяет пользователям совершать покупки или оплачивать услуги непосредственно из приложения, без необходимости перехода на сторонние сайты

• Интернет-магазины: ссылки могут быть размещены на страницах с товарами или в корзине, упрощая процесс оформления заказа и оплаты

• Сервисы онлайн-бронирования: оплата билетов, отелей или других услуг может быть осуществлена по ссылке, полученной после бронирования

• Благотворительность: ссылки позволяют людям легко и быстро сделать пожертвование в пользу выбранной ими организации

• Оффлайн-оплаты: позволяют производить платежи без использования физических карточек или наличных денег

Способы оплаты от СБП

Команда СБП c 2019 года активно работает над развитием новых сценариев и способов оплаты, используя возможности платежных ссылок. С каждым годом на рынке появляется все больше новых вариантов использования этой технологии.

Сценарии оплат в СБП

Взглянем на мир платежных ссылок с точки зрения пользователя и рассмотрим какие способы оплаты сейчас существуют в СБП.

1. Оплата по QR и NFC

2. Оплата по кнопке

Еще один способ — это оплата по кнопке. При покупке билетов онлайн или в мобильных приложениях, таких как маркетплейсы, вы наверняка видели в корзине опцию «Оплата по СБП».

Оплата по кнопке в мобильном приложении

Еще один способ — это оплата через мобильное приложение СБПэй. СБПэй — это приложение-кошелек ваших банковских счетов. Заранее добавив в него свои любимые банковские счета вам не придется открывать конкретное банковское приложение при оплате по QR-коду. В СБПэе необходимо будет лишь подтвердить оплату с него.

Таблички с QR-кодами или NFC-метками

4. Виджет СБП

Наш виджет СБП — это универсальный инструмент, который позволяет внедрить быструю и удобную оплату товаров и услуг прямо в ваше приложение. Он поддерживает различные методы оплаты: QR-код, NFC-метка, кнопка «Оплата по СБП». В нем отображается список банков для выбора чтобы оплатить покупку.

Включая в себя SDK и список из более чем 200 банков-участников СБП, он позволяет легко находить и сохранять предпочтительный банк пользователя. Важно отметить, что виджет поддерживает функцию возврата пользователя обратно в приложение через глубокую ссылку. Для активации этой функции необходимо в параметре redirectUrl указать глубокую ссылку на ваше приложение и при регистрации ссылки в системе СБП, после оплаты пользователь автоматически возвратится по этой ссылке из приложения банка обратно в ваше приложение или на ваш сайт. Дополнительные параметры и описание доступны по ссылке.

Варианты виджета SDK СБП:

1. Веб-виджет: идеальное решение для сайтов и приложений, представляющее собой веб-страницу со списком банков. Он адаптивен и поддерживает два режима работы: на мобильных устройствах и на компьютере. При использовании с компьютера, виджет отображает QR-код для сканирования с мобильного телефона, что приводит к открытию списка банков для завершения оплаты.

Слева виджет СБП на компьютере из браузера и справа с телефона

Готовое решение нативного виджета СБП

3. API (в разработке): предоставляет полную свободу для создания пользовательского интерфейса на веб-сайтах и мобильных платформах, минуя необходимость интеграции стандартного SDK. Описание тут.

Преимущества виджета СБП:

• Улучшение онлайн и оффлайн продаж: инструмент для интеграции платежных ссылок в ваш веб-сайт или приложение

• Удобство для клиентов: осуществление перехода в банковское приложение одним кликом с автоматической передачей платежных данных

Для дополнительной информации о преимуществах СБП для вашего бизнеса и инструкциях по подключению на сайте СБП.

2. Платежные ссылки под капотом: виды ссылок и их особенности

Структура ссылки в мобильных платформах

Ссылка (гиперссылка) — это последовательность символов, которая:

• Идентифицирует ресурс (сайт, файл, изображение)

• Позволяет перейти к этому ресурсу

Формат гиперссылки описан в стандарте Uniform Resource Identifier (URI) (RFC 3986). В данной статье мы рассмотрим ссылки с точки зрения использования их в мобильных платформах с углублением в Android.

Структура ссылки включает следующие компоненты:

1. Схема (Scheme) — это обязательный компонент ссылки, который играет важную роль в ее функционировании. Cхема делится на два типа:

•  Общеизвестные схемы: Эти схемы зарегистрированы в адресном пространстве интернета (IANA) и широко используются. Думаю, вы знаете такие примеры — это общеизвестные схемы http/https и другие. Они позволяют переходить к веб-страницам или в мобильные приложения, если они доверенны

•  Кастомные схемы: Вы также можете создать свою собственную схему, определив ее контекст. Например, для мобильного приложения, вы можете использовать кастомную схему типа myapp://. При переходе по такой ссылке пользователь будет направлен непосредственно в ваше приложение

2. Authority — это не обязательный компонент. Это обычно доменное имя и/или IP-адрес, указывающий на сервер или расположение. Например, «myapp.com». В контексте глубоких ссылок, authority может быть опущен, если схемы и пути уже достаточно для идентификации ресурса внутри приложения

3. Путь (Path) — это обязательный компонент. Конкретный путь к ресурсу внутри приложения (например,»/product/details» для страницы с подробной информацией о продукте)

4. Параметры (Query Parameters) — не обязательный компонент, передаваемый данные приложению (например, «product_id=123» для указания на конкретный продукт)

Структура ссылки в мобильных платформах

Например, в ссылке вида myapp://myhost то, что идет после:// — это authority, то есть, myhost это имя хоста, myapp:// — это кастомная схема. Так как хост не является обязательным компонентом, то его можно опустить, в этом случае ссылка будет выглядеть так: myapp://. Если указаны только схема и путь: myapp: myPath.

Примеры структуры ссылок в системе быстрых платежей

Рассмотрим структуру ссылок, используемых в СБП:

1. Схема (Scheme): используется общеизвестная схема https. И кастомные схемы:

   где ID — идентификатор банка-партнера (их более 200).

2. Authority: в СБП есть несколько хостов в зависимости от типа платежа:

   • qr.nspk.ruи b2b.cbrpay используются для статических QR-кодов (QR-Static) и динамических однократных QR-кодов (QR-Dynamic)

   • sub.nspk.ru используется для подписочных QR-кодов (QR-Subscription)

3. Query: идентификатор платежной ссылки, в котором указана вся подробная информация для платежа

Структуры ссылок в системе быстрых платежей

Виды ссылок

После рассмотрения основных компонентов ссылки, поговорим о ее видах, изучив особенности работы каждой. Важно отметить, что каждый тип ссылки является частным случаем другого, что создает их иерархию и взаимосвязь.

Иерархия видов ссылок

На вершине иерархии находятся гиперссылки — основа для всех других видов ссылок. Затем идут глубокие ссылки, которые обеспечивают направление пользователя на конкретный контент в приложении или на сайте. Далее следуют веб-ссылки, являющиеся стандартными ссылками на веб-ресурсы. И, наконец, ссылки на мобильные приложения, такие как Android или iOS, которые направляют пользователя на конкретные функции мобильных приложений.

Deep Link

Глубокая ссылка (deep link) — это специальная форма гиперссылки, которая направляет пользователя на конкретную страницу сайта или функциональность мобильного приложения. В отличие от обычных ссылок, которые просто перенаправляют на главную страницу сайта, глубокие ссылки позволяют пользователю сразу перейти к нужному контенту на сайте или в приложении. У глубокой ссылки схема может любая.

Такой вид ссылок используется в нашем виджете СБП. При отображении списка банков при нажатии на него используется глубокая ссылка для банковского приложения, по которой оно открывается. Банки-партнеры должны поддержать переход по ссылке в своем банковском приложении. Примеры:

Особенности работы глубоких ссылок:

1. Если мобильное приложение не установлено, то переход по ссылке приведет к сбою

2. Безопасность: нет централизованного реестра владельцев, поэтому любое приложение может поддержать обработку любого диплинка

Web link

Веб-ссылки — это глубокие ссылки, которые используют схему HTTP/HTTPS. Веб-ссылки всегда ведут на веб-страницы.

Особенности работы веб-ссылок:

1. В версиях Android: начиная с Android 12, при нажатии на веб-ссылку (которая не является Android App Link), ссылка всегда открывается в веб-браузере. Однако, на устройствах с предыдущими версиями до Android 12, если ваше приложение или другие установленные на устройстве приложения также могут обрабатывать веб-ссылку, пользователи могут не переходить непосредственно в браузер. Вместо этого они увидят диалог с выбором где открыть эту ссылку: в браузере или в приложении, которое может обработать веб-ссылку

2. Если приложение не установлено на мобильном устройстве, система откроет веб-ссылку в браузере

3. Как управлять поддерживаемыми ссылками в Android-приложениях: Android позволяет добавлять пользователям  поддерживаемые приложением веб-ссылки. Это означает, что при нажатии на веб-ссылку в браузере или другом приложении она будет автоматически открываться в выбранном приложении. Для этого необходимо выполнить следующие шаги:

Hidden text

Просмотр веб-ссылок приложения

Важно: при добавлении ссылки, которая поддерживается несколькими приложениями, она будет перенаправлена на выбранное вами приложение, которое станет приложением по умолчанию для открытия этой ссылки. На рисунке выше показано, что при добавлении ссылки qr.nspk.ru в СБПэй, в приложении Яндекс Пэй при попытке добавить ту же ссылку появляется информация о том, в каком приложении она открывается в данный момент. Вы можете изменить это приложение по умолчанию, выбрав Яндекс Пэй.

App Android link  / Apple Universal link (ссылки на приложения)

Ссылка на приложение — это ссылка, которая строго использует схему HTTPS. Веб-ссылку можно превратить в ссылку на приложение с помощью ассоциации ее с хостом при помощи протокола Digital Asset Links. Digital Asset Links (DAL) — протокол, разработанный Google, позволяющий безопасно связывать различные цифровые активы, такие как веб-сайты и мобильные приложения. Он помогает гарантировать, что пользователи открывают ссылки в предназначенном мобильном приложении, и защищает их от потенциальных фишинговых атак. Также он может быть интегрирован в магазины приложений. В отличие от Android, система iOS не использует протокол Digital Asset Links (DAL) напрямую. Однако Apple предлагает собственную технологию для достижения схожих целей — Apple App Site Association (AASA).

В Android ссылка на приложение называется как — App Android link, в iOS — Apple Universal link. Ассоциация работает следующим образом:

1. Сайт заявляет о связи: владелец веб-сайта публикует файл Digital Asset Links (по адресу для Android: https://{domain}/.well-known/assetlinks.json, для iOS: https://{domain}/.well-known/apple-app-site-association). В этом файле декларируется, что веб-сайт имеет связь с определенным мобильным приложением

2. Во время установки или обновлении мобильного приложения в файле конфигурации системы прописывается/обновляется список ссылок, по которым приложение будет открываться

Особенности работы ссылок на приложения:

1. Соблюдение протокола DAL: ошибки сервера (кроме HTTP 200) и отсутствие доступа к https://digitalassetlinks.googleapis.com приведут к не успеху и ссылка не будет ассоциирована

2. HTTPS с доверенным сертификатом: соединения без цепочки сертификатов, проверяемой доверенными центрами, не будут работать

3. Связывание приложения и хоста происходит при установке/обновлении. Для удаления ассоциации требуется обновление мобильного приложения

4. Как управлять поддерживаемыми ссылками в Android-приложениях: чтобы в Android увидеть проверенные ссылки на приложение, необходимо:

Hidden text

Просмотр проверенных ссылок приложения

3. Что может пойти не так

1. Ситуация с несколькими приложениями и одной ссылкой на приложение: в практике DAL возможна ситуация, когда несколько приложений заявляют права на одну и ту же ссылку. В таком случае система не гарантирует, какое приложение будет открыто при нажатии на ссылку.

Факторы, влияющие на выбор приложения:

• Обновление: обычно открывается приложение, которое последним обновилось или было установлено, но это не всегда так работает, так как зависит от версии операционной системы, модели телефона и множества других факторов

• Ручные настройки: если пользователь отключил функцию «Открывать поддерживаемые ссылки», то откроется предпоследнее установленное/обновленное приложение

Пример: на телефоне установлены 3 приложения: Банк1, Банк2 и Банк3 и все они поддерживают ссылку app.link.ru. При переходе по ссылке откроется самое последнее установленное/обновленное приложение.

Последствия:

• Неопределенность: пользователь не может предсказать, какое приложение откроется

• Нежелательное поведение: одно из трех приложений может перехватывать весь трафик по данной ссылке, что не всегда желательно для пользователя и бизнеса

2. Конфликты ссылок в DAL: приложения с одинаковым пакетом, но разной подписью. В iOS и Android возможны конфликты ссылок, если у двух приложений одинаковый идентификатор пакета, но разные подписи. 

Актуальность проблемы в условиях санкций: в условиях санкций компании могут быть вынуждены перевыпускать свои приложения. Это может привести к появлению двух приложений с одинаковым пакетом, но разными подписями из-за использования разных сертификатов.

Пример:

Представим, что на телефоне установлены два приложения Банка1: старое и новое. При переходе по ссылке система не гарантирует, какое из этих приложений будет открыто.

Последствия те же что и в пункте 1 (ситуация с несколькими приложениями и одной ссылкой), дополнительно стоит отметить что в некоторых случаях конфликты ссылок могут привести к некорректной работе приложений или даже к потере данных. В каких-то случаях это может привести к снижению безопасности: злоумышленники могут использовать конфликты ссылок для перенаправления пользователей на фишинговые сайты или распространения вредоносного ПО.

3. HTTPS с доверенным сертификатом для DAL: использование HTTPS с доверенным сертификатом является обязательным условием для корректной работы DAL. Однако в условиях санкций возникают трудности, связанные с просрочкой и невозможностью выпуска новых сертификатов для некоторых приложений.Если поставщик DAL использует сертификат, подписанный локальным удостоверяющим центром, то верификация ссылки по HTTPS не будет работать, а это значит что не получится использовать ссылки на ваше приложение.

4. Открытие ссылок из браузера: не все браузеры поддерживают схемы.

Важно учитывать:

• Старые версии браузеров: например, Opera версии 66 и ниже не поддерживает схему типа intent://

• Браузеры на китайских моделях телефонов: некоторые браузеры на этих моделях также могут не поддерживать такие схемы

5. Открытие в вебвью и перехваты редиректа: некоторые разработчики переопределяют стандартный метод перехвата редиректов у WebView, чтобы загружать перехваченные глубокие ссылки как веб-страницы. Это некорректное поведение для виджета СБП SDK, поскольку он поддерживает как глубокие ссылки, так и ссылки на приложения.

Последствия:

• Неправильная обработка ссылок на приложения:  при загрузке ссылки на приложение (содержащей схему https) в WebView будет отображаться веб-страница этой ссылки, что не приведет к запуску мобильного приложения

• Ошибки при загрузке глубоких ссылок:  при загрузке глубокой ссылки (без схемы https) в WebView будет выводиться ошибка, так как по этой ссылке не найдется веб-страница

        webView.loadUrl("https://qr.nspk.ruQRCID")
        webView.webViewClient = object : WebViewClient() {
            override fun shouldOverrideUrlLoading(
                view: WebView,
                request: WebResourceRequest
            ): Boolean {
                try {
                    //отдаем диплинку на выполнение системе
                    startActivity(Intent(Intent.ACTION_VIEW, request.url))
                } catch (e: Exception) {
                    Toast.makeText(
                        context,
                        "Приложение не поддерживает переход",
                        Toast.LENGTH_SHORT
                    ).show()
                }
                return true
            }
        }

6. Проверка установленных приложений на Android: ограничения и обходные пути

Проверка установленных приложений на Android является важной задачей для многих разработчиков. Это может быть необходимо, например, для:

• Улучшения пользовательского опыта:  например, для СБП SDK можно в начале списка показать установленные банковские приложения для быстрого перехода в них

• Выполнения требований:  некоторые функции могут требовать наличия определенных приложений

1. Открытие приложения без проверки:

• Используйте try/catch: попробуйте открыть приложение напрямую. Если возникнет ActivityNotFoundException, вы можете сообщить пользователю об отсутствии приложения

2. Отображение списка установленных приложений:

1. Объявление пакетов в  манифеста приложения:

• Плюсы: простой и понятный метод

• Минусы: не подходит для динамических списков, так как требует обновления манифеста приложения

2. QUERY_ALL_PACKAGES в манифесте:

• Плюсы: позволяет получить доступ ко всем установленным приложениям

• Минусы: требует тщательного обоснования в Google Play из-за проблем с конфиденциальностью

3. Проверка по глубокой ссылке:

• Плюсы: легальный и надежный метод. Не требует дополнительных разрешений. Подходит для динамических списков

• Минусы: необходимо знать глубокую ссылку каждого приложения

Пример проверки по глубокой ссылке для СБП SDK: в разделе манифеста укажите глубокую ссылку для проверки установленных приложений с поддержкой хоста qr.nspk.ru:

Далее, проверить стандартным способом наличие приложения на устройстве по данному диплинку, например bankID://qr.nspk.ru/QRCID:

    val deepLink = Uri.parse("bankid://qr.nspk.ru/QRCID")

    fun isSbpAppInstalled(deepLink: Uri): Boolean {
        val intent = Intent(Intent.ACTION_VIEW).apply {
            setDataAndNormalize(deepLink)
        }
        return if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.TIRAMISU) {
            packageManager.queryIntentActivities(
                intent,
                PackageManager.ResolveInfoFlags.of(PackageManager.MATCH_DEFAULT_ONLY.toLong())
            ).isNotEmpty()
        } else {
            packageManager.queryIntentActivities(
                intent,
                PackageManager.MATCH_DEFAULT_ONLY
            ).isNotEmpty()
        }
    }

7. Оплата через NFC СБПэй: избегайте этих ошибок, чтобы получить кешбэк! Шутка про терминал не сработает!

Многие владельцы смартфонов с NFC ошибочно полагают, что для оплаты через СБПэй достаточно просто приложить телефон к терминалу.

Это не так! СБПэй работает не с терминалами, а с NFC-метками.

Как не ошибиться:

• Устройства с NFC могут работать в 3 режимах:

  • Чтение/запись: считывает и записывает данные с NFC-меток

  • P2P: обмен данными с другими устройствами NFC (Android Beam)

  • Эмуляция карты: устройство само становится картой NFC

• Pay-приложения (MirPay, SberPay, TinkoffPay) используют эмуляцию карты

• СБПэй работает в режиме чтения NFC-меток

Поэтому:

• Ищите на кассе специальные таблички СБП. Они отмечены логотипом СБП

• Прикладывайте телефон к табличке, а не к терминалу

• Следуйте инструкциям на экране телефона

P.S.

• Если вы не уверены, где находится NFC-метка, спросите продавца

• В некоторых магазинах NFC-метки интегрированы в терминалы. В таких случаях оплата может проходить при касании телефона к терминалу, но для верности лучше уточнить у продавца

Итоги

В этой статье мы подробно рассмотрели платежные ссылки и их роль в методах оплаты через Систему быстрых платежей. Мы узнали о различных типах ссылок и их особенностях работы на мобильных платформах, что является важным при выборе реализации ваших решений и обеспечении лучшего пользовательского опыта.

Работа с платежными ссылками имеет особую важность, так как она напрямую влияет на:

• Необратимость решений: перевыпуск приложений может быть невозможным или затратным, а существующие ссылки не всегда можно изменить

• Масштабные последствия: неправильная настройка DAL (Deep Link Activation) может привести к нежелательному поведению приложений и негативному пользовательскому опыту для многих пользователей

В связи с этим, мы рекомендуем:

• Тщательно планировать: перед реализацией и выбором типа ссылки, особенно с DAL, тщательно продумайте схему открытия ссылок и учитывайте возможные конфликты

• Проводить тестирование: обязательно проводите тщательное тестирование на различных устройствах и с разными версиями операционных систем

• Быть готовым к изменениям: в некоторых случаях может потребоваться изменение существующих ссылок или приложений для обеспечения корректной работы DAL

Помните: платежные ссылки — это мощный инструмент, но он требует ответственного и вдумчивого подхода к использованию. Понимание возможных проблем и способов их решения помогает обеспечить бесперебойную работу ссылок на приложения и положительный опыт пользователей. Используя эти рекомендации, вы сможете:

• Снизить риски ошибок и непредвиденных последствий

• Обеспечить бесперебойную работу платежных ссылок

• Предложить вашим пользователям удобный и безопасный способ оплаты через СБП

Надеемся, эта информация была вам полезна!

© Habrahabr.ru