java - 使用定期计费模型更新 SCA 的 Stripe 付款

Question

我目前正在将我的应用程序从使用 Stripe Charges API 迁移到使用 Stripe PaymentIntents API，以便遵守 SCA 法规。我的应用程序是具有定期计费模型的订阅服务，因此我通常遵循迁移文档的“Gym Membership”示例，并查看其他相关文档和引用资料。

我在前端使用 Stripe Elements 在自定义表单上捕获付款详细信息等，然后使用 Stripe 付款 token 发送到我的后端以进行进一步处理(同步)。前端更新很简单，我没有任何问题，但我对后端更新有点困惑。

我在文档中找到的所有代码示例(通常都很棒)展示了如何将 Charge 调用转换为 PaymentIntent 调用，例如这个旧的 Charge 调用:

Map<String, Object> chargeParams = new HashMap<String, Object>();
chargeParams.put("amount", 1099);
chargeParams.put("currency", "eur");
chargeParams.put("source", request.token_id);
Charge.create(chargeParams);

...使用 PaymentIntents API 变成这样:

Map<String, Object> createPaymentIntentParams = new HashMap<String, Object>();
createPaymentIntentParams.put("currency", "eur");
createPaymentIntentParams.put("amount", 1099);
createPaymentIntentParams.put("confirm", true);
createPaymentIntentParams.put("confirmation_method", "manual");
createPaymentIntentParams.put("payment_method", request.paymentMethodId);
intent = PaymentIntent.create(createPaymentIntentParams);

因此，如果客户需要额外授权(如 PaymentIntent 状态所示)，该请求将被退回给客户，并且 Stripe SDK 将处理额外的安全措施。

但我的应用程序没有以这种方式使用 Charge 调用。它通常看起来像这样:

Map<String, Object> srchOpts = new HashMap<>();
srchOpts.put("email", userEmail);   

List<Customer> matchingCustomers = Customer.list(srchOpts).getData();
Customer customer = null;
Subscription subscription = null;

if ( matchingCustomers.isEmpty() ){
    Map<String, Object> params = new HashMap<String, Object>();
    params.put("email", userEmail);
    params.put("source", stripeToken);
    customer = Customer.create(params); // potential SCA rejection ??
}
else if (matchingCustomers.size() == 1) {
    customer = matchingCustomers.get(0);
    Map<String, Object> params = new HashMap<String, Object>();
    params.put("source", stripeToken);
    PaymentSourceCollection paymentSources = customer.getSources();
    paymentSources.create(params); // potential SCA rejection ??
}

Map<String, Object> item = new HashMap<String, Object>();
item.put("plan", planId);

Map<String, Object> items = new HashMap<String, Object>();
items.put("0", item);

Map<String, Object> params = new HashMap<String, Object>();
params.put("items", items);

params.put("customer", customer.getId());
subscription = Subscription.create(params); // potential SCA rejection ??

新的 Customer 创建、新的 PaymentSource 创建和新的 Subscription 创建调用是否会受到 SCA 拒绝，此时我会返回给客户进行进一步验证？

如果是这样，我如何检查 Customer 和 PaymentSource 调用是否有必要这样做，以及如何获取所需的客户端 secret token 发送回前端？ Subscription 对象确实提供了对具有状态和客户端 key 的 SetupIntent 对象的访问，所以我是否必须检查和使用这些？

任何带有示例的相关文档的链接都会非常有帮助。

Answer 1

唯一需要 SCA 的时间是您尝试付款时。收集客户的付款详细信息(并可选择将其保存为新客户)后，您要求 Stripe 完成付款。然后 Stripe 将联系客户的银行并询问是否可以付款或是否需要额外的身份验证。

如果银行表示不需要额外的费用，则付款成功，一切顺利。

如果银行表示需要进行 3DS 检查，那么您需要让客户完成 3DS 流程，这本质上是一个 2FA 步骤，以确保请求付款的人也是持卡人。

如果您的客户仍在“ session 中”(例如仍在您的网站上)，您可以将新创建​​的 PaymentIntent 的客户端 key 传递到您的前端，并使用 Stripe.js 完成 2FA 步骤并验证付款。

如果您的客户处于“非 session 状态”(例如，这是定期订阅，并且他们不在您的网站上)，那么您必须向您的客户发送电子邮件，让他们返回您的网站以执行 3DS 步骤(或者您可以使用 Stripe 的 hosted invoice page )。

就您而言，当您创建订阅时(假设您没有使用试用期)，Stripe 将创建一个发票，并附加自动创建的 PaymentIntent。您可以通过 Subscription 上的 latest_invoice 参数访问此发票。 。如果需要 3DS 步骤，则 PaymentIntent 将具有 requires_action 状态，这意味着您需要让客户返回“ session 中”才能完成付款。

在这种情况下，通过托管发票页面，Stripe 会自动向您的用户发送电子邮件，以便他们完成付款。如果没有托管发票页面，您将必须构建自己的实现才能让您的用户返回“ session 中”。

只有当您实际尝试将资金从一个地方转移到另一个地方时，您才需要在创建客户或付款方式时执行 3DS。