Аутентификация 3‑D Secure

Обзор

Аутентификация пользователей с использованием протокола 3‑D Secure (Three-Domain Secure) предназначена для защиты от мошенничества при проведении онлайн-платежей с использованием платёжных карт. Она может выполняться с применением различных способов проверки подлинности пользователей: например, через указание пользователем одноразового проверочного кода (One Time PIN, OTP), через распознавание лица пользователя, с помощью проверки отпечатка пальца пользователя на его мобильном устройстве или даже без каких-либо действий со стороны пользователя, на основе имеющейся информации о нём, его устройстве и инициированном платеже. При этом в разных случаях со стороны эмитентов могут поддерживаться различные способы проверки.

В аутентификации 3‑D Secure задействуются три домена:

• Домен эквайера. В рамках работы с платёжной платформой ecommpay к нему относятся веб-сервисы мерчантов, платёжная платформа и связанный с ней 3DS-сервер.
• Домен совместимости. К нему относятся серверы каталогов (Directory Servers, DS) международных платёжных систем.
• Домен эмитента. К нему относятся серверы управления доступом (Access Control Servers, ACS) эмитентов, а также страницы аутентификации (ACS-страницы), открываемые при обращениях к этим серверам.

Между этими доменами осуществляется обмен сообщениями, необходимыми для аутентификации пользователей. К таким сообщениям могут относиться запросы на аутентификацию (Authentication Request Message, AReq) и ответы на них (Authentication Response Message, ARes), а также запросы на подтверждение личности пользователя (Challenge Request, CReq) и ответы с информацией о результатах такого подтверждения (Challenge Response, CRes).

При работе с аутентификацией 3‑D Secure следует учитывать, что информация о возможности аутентификации держателей карт хранится на серверах управления доступом, и эту информацию в случае с каждой картой можно получить только после отправки запроса на проведение платежа. Также со стороны веб-сервиса и платёжной платформы невозможно отслеживать действия пользователей на страницах аутентификации — доступно лишь получение информации о результатах аутентификации.

Варианты аутентификации

При работе с протоколом 3‑D Secure могут применяться два варианта аутентификации:

• Аутентификация с подтверждением пользователем своей личности (challenge flow). В этом случае подтверждение личности пользователя выполняется, например, с использованием одноразового кода или биометрических данных, если такая возможность поддерживается эмитентом.
• Аутентификация без участия пользователя (frictionless flow). В этом случае личность пользователя подтверждается исходя из информации, которой располагает эмитент.

Со стороны мерчанта выбирать варианты аутентификации нельзя — можно лишь указывать предпочтения по такому выбору для конкретных платежей, но итоговое решение каждый раз принимается на стороне эмитента. Также, помимо указания предпочтений, в запросах на проведение платежей можно передавать ряд других необязательных параметров, применение которых может повышать вероятность выбора варианта аутентификации frictionless flow и, как следствие, способствовать повышению проходимости и улучшению пользовательского опыта. Информация о таких параметрах представлена далее.

Общая информация

Как и пользовательские сценарии, схемы работы веб-сервиса и других сторон при выполнении аутентификации 3‑D Secure могут различаться. При этом существенными факторами для веб-сервиса выступают внешние решения относительно необходимости сбора дополнительных сведений об устройстве пользователя и относительно варианта аутентификации — каждое из этих решений может вызывать необходимость выполнения соответствующей процедуры дополнительно к базовым действиям по проведению искомого платежа.

Самостоятельно выбирать какие-либо из этих сценариев со стороны мерчантов нельзя. Но можно влиять на решения других сторон — через передачу рекомендуемых параметров и указание предпочтений по варианту аутентификации (frictionless flow или challenge flow) для конкретных платежей.

Общая схема работы

Общую схему проведения оплаты с аутентификацией 3‑D Secure можно представить следующим образом.

Информация о форматах оповещений и запросов, используемых в рамках этой схемы, приведена далее в этой статье; общая информация о работе с Gate API — в статье Организация взаимодействия. Также стоит учитывать, что в различных случаях эта схема может дополняться другими процедурами и действиями, не касающимися непосредственно аутентификации и описанными в соответствующих статьях настоящей документации.

Сбор сведений об устройстве пользователя

В случаях, когда для эмитента актуален сбор дополнительных сведений об устройстве пользователя, к веб-сервису от платформы отправляется соответствующее оповещение. При получении такого оповещения необходимо:

1. Проверить целостность данных путём сличения расчётной подписи с представленной в оповещении.
2. Подтвердить приём оповещения, отправив положительный синхронный ответ (200 OK) к платформе.
3. Открыть в клиентской части веб-сервиса элемент iframe для сбора сведений об устройстве пользователя с использованием данных из оповещения (подробнее).
4. Принять уведомление о приёме сведений от сервера управления доступом (ACS) эмитента.
5. Отправить запрос на аутентификацию в платёжную платформу.

Перенаправление пользователя к странице аутентификации

В случаях, когда для эмитента актуален вариант аутентификации challenge flow с перенаправлением пользователя к ACS-странице, к веб-сервису от платформы отправляется соответствующее оповещение. При получении такого оповещения необходимо:

1. Проверить целостность данных путём сличения расчётной подписи с представленной в оповещении.
2. Подтвердить приём оповещения, отправив положительный синхронный ответ (200 OK) к платформе.
3. Перенаправить пользователя на страницу аутентификации с использованием данных из оповещения (подробнее) и с соблюдением ограничения в 30 секунд с момента приёма оповещения о необходимости перенаправления.
4. Принять уведомление о результате аутентификации от эмитента.
5. Отправить запрос на продолжение проведения платежа с учётом результата аутентификации с соблюдением ограничения в 30 минут с момента приёма оповещения о необходимости перенаправления.
6. Если используется возможность каскадного проведения платежей (подробнее) и повторно получено оповещение о необходимости перенаправления пользователя (со значением true для параметра cascading_with_redirect):
   1. Повторить шаги 1–2 этой процедуры, с проверкой и подтверждением приёма оповещения.
   2. Отобразить пользователю сообщение об ошибке при предыдущей попытке аутентификации.
   3. Получить согласие пользователя на повторную аутентификацию.
   4. Повторить шаги 3–5 этой процедуры.

Чтобы улучшать пользовательский опыт и проходимость платежей, уместно минимизировать число действий в рамках аутентификации пользователей. Для этого в запросах на проведение платежей, для которых применима аутентификация 3‑D Secure, полезно передавать ряд таких параметров, которые помогают уменьшать вероятность применения процедур со сбором дополнительных сведений об устройствах пользователей и с перенаправлениями пользователей к страницам аутентификации. В число таких параметров, полный перечень которых представлен далее, наряду со сведениями о пользователе и платеже входят следующие сведения об устройстве и браузере пользователя:

• Сведения об устройстве, определяемые на клиентской стороне веб-сервиса:
  • accept_header — значение HTTP-заголовка Accept;
  • accept_language_header — значение параметра Accept-Language, которое указывает предпочтения в языке локализации;
  • browser — значение HTTP-заголовка User-Agent;
  • ip_address — IP-адрес пользователя, актуальный для инициируемого платежа.
• Сведения об устройстве, получаемые из запроса от используемого браузера к веб-сервису:
  • color_depth — глубина цвета используемого устройства, в битах на пиксель;
  • java_enabled — индикатор поддержки сценариев Java в используемом браузере;
  • js_enabled — индикатор поддержки сценариев JavaScript в используемом браузере;
  • language — код языка, выбранного для работы в используемом браузере;
  • screen_res — разрешение экрана используемого устройства, в пикселях и с символом x в качестве разделителя (например, 1920x1080);
  • timezone_name — название часового пояса, который актуален для используемого браузера (например, Australia/Adelaide);
  • timezone_offset — разница между временем для используемого браузера и UTC, в минутах (например, 570).

    "customer": {
    "ip_address": "188.113.253.90",
    "browser": "Mozilla/5.0 (Linux; Android 14; SM-A155F Build/UP1A.231005.007; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/138.0.7204.67 Mobile Safari/537.36",
    "screen_res": "1920x1080",
    "language": "en_US",
    "accept_header": "*/*",
    "accept_language_header": "en-GB,en;q=0.8,fr;q=0.3",
    "color_depth": 24,
    "java_enabled": false,
    "js_enabled": true,
    "timezone_offset": "570"
  }

Со стороны веб-сервиса сбор и использование таких сведений об устройстве и браузере пользователя можно организовать следующим образом.

1. Определить сведения об устройстве пользователя в клиентской части веб-сервиса.

   function collectClientData() {
       return {
           // разрешение экрана устройства
           screen_res: `${screen.width}x${screen.height}`,
            
           // код языка, выбранного в браузере
           language: navigator.language,
            
           // глубина цвета браузера
           color_depth: screen.colorDepth,
            
           // индикатор поддержки сценариев Java в браузере
           java_enabled: navigator.javaEnabled(),
            
           // индикатор поддержки сценариев JavaScript в браузере
           js_enabled: true,
            
           // разница между временем для браузера и UTC
           timezone_offset: new Date().getTimezoneOffset().toString(),
       };
   }

2. Отправить собранные сведения из клиентской части веб-сервиса в серверную.

   async function sendClientDataToServer(endpoint = '/api/collect-client-data') {
       try {
           const clientData = collectClientData();
             
           const response = await fetch(endpoint, {
               method: 'POST',
               headers: {
                   'Content-Type': 'application/json',
                   'Accept': '*/*'
               },
               body: JSON.stringify(clientData)
           });
             
           const result = await response.json();
           return result;
       } catch (error) {
           console.error('Ошибка отправки данных:', error);
           throw error;
       }
   }

3. Дополнить эти сведения полученными из запроса от браузера пользователя к веб-сервису и использовать их наряду с другими актуальными параметрами для формирования и отправки запроса на проведение искомого платежа.

   interface CustomerData
   {
       public function getIpAddress(): ?string;
    
       public function getAcceptHeader(): ?string;
    
       public function getAcceptLanguageHeader(): ?string;
    
       public function getScreenRes(): ?string;
    
       public function getBrowser(): ?string;
    
       public function getLanguage(): ?string;
    
       public function getColorDepth(): ?int;
    
       public function getJavaEnabled(): ?bool;
    
       public function getJsEnabled(): ?bool;
    
       public function getTimezoneOffset(): ?string;
   }
    
   interface CardData
   {
       public function getPan();
    
       public function getYear();
    
       public function getMonth();
    
       public function getCardHolder();
    
       public function getCvv();
   }
    
   interface PaymentData
   {
       public function getPaymentId(): string;
    
       public function getAmount(): int;
    
       public function getCurrency(): string;
    
       public function getCardData(): CardData;
    
       public function getCustomerData(): CustomerData;
   }
    
   interface HttpClient
   {
       public function sendRequest(array $request): bool;
   }
    
   interface Signer
   {
       public function sign(array $params): string;
   }
    
   final class PaymentController
   {
       public function __construct(
           private Signer $signer,
           private HttpClient $httpClient,
           private int $projectId,
       ) {}
    
       public function processPayment(PaymentData $paymentData): void
       {
           $paymentRequest = [
               'general' => [
                   'project_id' => $this->projectId,
                   'payment_id' => $paymentData->getPaymentId(),
               ],
               'customer' => $this->prepareCustomerData($paymentData->getCustomerData()),
               'payment' => [
                   'amount' => $paymentData->getAmount(),
                   'currency' => $paymentData->getCurrency(),
               ],
               'card' => [
                   'pan' => $paymentData->getCardData()->getPan(),
                   'year' => $paymentData->getCardData()->getYear(),
                   'month' => $paymentData->getCardData()->getMonth(),
                   'card_holder' => $paymentData->getCardData()->getCardHolder(),
                   'cvv' => $paymentData->getCardData()->getCvv(),
               ],
           ];
    
           $paymentRequest['general']['signature'] = $this->signer->sign($paymentRequest);
    
           $this->httpClient->sendRequest($paymentRequest);
       }
    
       private function prepareCustomerData(CustomerData $customerData): array
       {
           return array_filter([
               'ip_address' => $customerData->getIpAddress(),
               'browser' => $customerData->getBrowser(),
               'screen_res' => $customerData->getScreenRes(),
               'language' => $customerData->getLanguage(),
               'accept_header' => $customerData->getAcceptHeader(),
               'accept_language_header' => $customerData->getAcceptLanguageHeader(),
               'color_depth' => $customerData->getColorDepth(),
               'java_enabled' => $customerData->getJavaEnabled(),
               'js_enabled' => $customerData->getJsEnabled(),
               'timezone_offset' => $customerData->getTimezoneOffset(),
           ]);
       }
   }

   package main
    
   import "encoding/json"
    
   // CustomerData interface
   type CustomerData interface {
       GetIpAddress() *string
       GetAcceptHeader() *string
       GetAcceptLanguageHeader() *string
       GetScreenRes() *string
       GetBrowser() *string
       GetLanguage() *string
       GetColorDepth() *int
       GetJavaEnabled() *bool
       GetJsEnabled() *bool
       GetTimezoneOffset() *string
   }
    
   // CardData interface
   type CardData interface {
       GetPan() interface{}
       GetYear() interface{}
       GetMonth() interface{}
       GetCardHolder() interface{}
       GetCvv() interface{}
   }
    
   // PaymentData interface
   type PaymentData interface {
       GetPaymentId() string
       GetAmount() int
       GetCurrency() string
       GetCardData() CardData
       GetCustomerData() CustomerData
   }
    
   // HttpClient interface
   type HttpClient interface {
       SendRequest(request map[string]interface{}) bool
   }
    
   // Signer interface
   type Signer interface {
       Sign(params map[string]interface{}) string
   }
    
   // PaymentController struct
   type PaymentController struct {
       signer     Signer
       httpClient HttpClient
       projectId  int
   }
    
   // NewPaymentController constructor
   func NewPaymentController(signer Signer, httpClient HttpClient, projectId int) *PaymentController {
       return &PaymentController{
           signer:     signer,
           httpClient: httpClient,
           projectId:  projectId,
       }
   }
    
   // ProcessPayment processes the payment
   func (pc *PaymentController) ProcessPayment(paymentData PaymentData) {
       cardData := paymentData.GetCardData()
    
       paymentRequest := map[string]interface{}{
           "general": map[string]interface{}{
               "project_id": pc.projectId,
               "payment_id": paymentData.GetPaymentId(),
           },
           "customer": pc.prepareCustomerData(paymentData.GetCustomerData()),
           "payment": map[string]interface{}{
               "amount":   paymentData.GetAmount(),
               "currency": paymentData.GetCurrency(),
           },
           "card": map[string]interface{}{
               "pan":         cardData.GetPan(),
               "year":        cardData.GetYear(),
               "month":       cardData.GetMonth(),
               "card_holder": cardData.GetCardHolder(),
               "cvv":         cardData.GetCvv(),
           },
       }
    
       // Add signature
       general := paymentRequest["general"].(map[string]interface{})
       general["signature"] = pc.signer.Sign(paymentRequest)
    
       // Send request
       pc.httpClient.SendRequest(paymentRequest)
   }
    
   // prepareCustomerData filters and prepares customer data
   func (pc *PaymentController) prepareCustomerData(customerData CustomerData) map[string]interface{} {
       result := make(map[string]interface{})
    
       if v := customerData.GetIpAddress(); v != nil {
           result["ip_address"] = *v
       }
       if v := customerData.GetBrowser(); v != nil {
           result["browser"] = *v
       }
       if v := customerData.GetScreenRes(); v != nil {
           result["screen_res"] = *v
       }
       if v := customerData.GetLanguage(); v != nil {
           result["language"] = *v
       }
       if v := customerData.GetAcceptHeader(); v != nil {
           result["accept_header"] = *v
       }
       if v := customerData.GetAcceptLanguageHeader(); v != nil {
           result["accept_language_header"] = *v
       }
       if v := customerData.GetColorDepth(); v != nil {
           result["color_depth"] = *v
       }
       if v := customerData.GetJavaEnabled(); v != nil {
           result["java_enabled"] = *v
       }
       if v := customerData.GetJsEnabled(); v != nil {
           result["js_enabled"] = *v
       }
       if v := customerData.GetTimezoneOffset(); v != nil {
           result["timezone_offset"] = *v
       }
    
       return result
   }

Общая информация

Общий формат запросов на проведение платежей с возможностью выполнения аутентификации 3‑D Secure должен соответствовать описанному в статье Организация взаимодействия. При этом для каждого запроса может быть актуальным свой набор параметров:

• в любом случае должны использоваться параметры, обязательные для соответствующего типа платежа (подробнее — в статьях о типах платежей), и параметры, перечисленные далее как обязательные для выполнения аутентификации 3‑D Secure;
• в случаях, когда предпочтительны сценарии без сбора дополнительных сведений об устройстве пользователя и без перенаправления пользователя к странице аутентификации (с вариантом frictionless flow), желательно передавать максимальное число параметров, которые перечислены далее как рекомендуемые для выполнения аутентификации 3‑D Secure;
• дополнительно могут использоваться любые другие параметры из числа допустимых для конкретного типа платежа.

Обязательные параметры

В запросах на проведение платежей, для которых применима аутентификация 3‑D Secure, вместе с обязательными для соответствующего типа платежа параметрами необходимо передавать следующие объекты и параметры.

{
  "general": {
      "project_id": 42,
      "payment_id": "456789",
      "signature": "v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
  },
    "customer": {   // сведения о пользователе
      "ip_address": "248.121.176.220",   // IP-адрес пользователя
      "id": "customer_12",
      "screen_res": "1920x1080",   // разрешение экрана используемого устройства
      "phone": "44991234567",   // номер телефона пользователя
      "email": "john_smith@email.com"   // адрес электронной почты пользователя
  },
    "payment": {
      "amount": 400000,
      "currency": "USD"
  },
    "return_url": {
      "success": "https://example.com/success",
      "decline": "https://example.com/decline"
  },
    "card": {
      "pan": "4314220000000056",
      "year": 2025,
      "month": 8,
      "card_holder": "JOHN SMITH",   // имя держателя карты
      "cvv": "123"
  },
  "acs_return_url": {   // сведения об адресах веб-сервиса
    "return_url": "https://3DS_result_url",   // адрес для перенаправления пользователя после аутентификации
    "3ds_notification_url": "https://3DS_result_url"   // адрес для получения уведомления о принятии данных
  }

Рекомендуемые параметры

В запросах на проведение платежей, для которых применима аутентификация 3‑D Secure, рекомендуется передавать ряд необязательных параметров, указание которых может повышать вероятность выбора эмитентами варианта аутентификации frictionless flow, без участия пользователя, а также отказ от сбора дополнительных сведений об устройстве пользователя. Со стороны веб-сервиса можно передавать как полный, так и неполный набор таких параметров, с учётом наличия соответствующей информации. К базовому минимуму параметров, влияющих на решения эмитентов о варианте аутентификации и сборе сведений, при этом можно отнести платёжный адрес пользователя и сведения о его устройстве и браузере.

Формат оповещения о необходимости сбора дополнительных сведений

Для сбора эмитентом дополнительных сведений об устройстве пользователя при выполнении аутентификации необходимо принять промежуточное оповещение от платёжной платформы и использовать информацию из него, включённую в объект iframe объекта threeds2 — чтобы сформировать служебный элемент iframe на странице веб-сервиса. Формат таких оповещений является типовым (подробнее), при этом в состав объекта iframe включаются сведения, которые необходимо использовать следующим образом: адрес из параметра url — в атрибуте action используемой формы в клиентской части веб-сервиса, а данные из других параметров — в тегах input этой же формы.

{ 
  "threeds2":{ 
    "iframe":{ 
      "url":"https://example.com",
      "params":{
        "3DSMethodData":"eyAidGhyZWVNrkthelJSUFQwaWZYMCUzQ",
        "threeDSMethodData":"eyAidGhjNjMGQ4YWU4LTA2u0wyWmtObGRdwR"
      }
    }
  }
}

<iframe id="tdsMmethodTgtFrame" name="tdsMmethodTgtFrame" style="width: 1px; height: 1px; 
display: none;" src="javascript:false;" xmlns="http://example.com/xhtml"> <!--.--> </iframe>
<form id="tdsMmethodForm" name="tdsMmethodForm" action="https://example.com" method="post" 
target="tdsMmethodTgtFrame" xmlns="http://example.com/xhtml">
    <input type="hidden" name="3DSMethodData" value="eyAidGhyZWVNrkthelJSUFQwaWZYMCUzQ"
    />
    <input type="hidden" name="threeDSMethodData" value="eyAidGhjNjMGQ4YWU4LTA2u0wyWmtObGRdwR"
    />
</form>
<script type="text/javascript" xmlns="http://example.com/xhtml">
    document.getElementById("tdsMmethodForm").submit();
</script>

Формат уведомления о приёме дополнительных сведений

Для уведомлений о приёме дополнительных сведений об устройствах пользователей используются форматы эмитентов. Такие уведомления передаются от серверов управления доступом (ACS) эмитентов на адреса веб-сервисов, указанные в запросах на проведение платежей (в параметре 3ds_notification_url). С вопросами о работе с такими уведомлениями можно обращаться к специалистам технической поддержки ecommpay.

threeDSMethodData:eyJ0aHJlZURTU2VydmVyVHJhbnNJRCI6ImRiNmFjM2UwLWI5ZWQtNWQ3NS04MDAwLTAwMDAwMDAwMTA0MiJ9
threeDSServerTransID=3abd37b3-afa6-53cf-8000-000000006455

Формат запроса на инициирование аутентификации

Для инициирования аутентификации, когда это актуально после сбора дополнительных сведений об устройстве пользователя, каждый раз должен использоваться POST-запрос к конечной точке /v2/payment/card/3ds_check_iframe. В каждом таком запросе должны использоваться следующие объекты и параметры:

• general — объект, содержащий основные идентификационные сведения запроса:
  • project_id — идентификатор используемого проекта;
  • payment_id — идентификатор проводимого платежа;
  • signature — подпись к данным запроса, составленная после указания целевых параметров (подробнее — в статье Работа с подписью к данным).
• threeds_completion_indicator — индикатор своевременного получения уведомления о приёме сведений — со значением true, если такое уведомление получено в течение 10 секунд с момента открытия элемента iframe для сбора дополнительных сведений об устройстве пользователя, или false, если уведомление получено позже.

Таким образом, корректный запрос на инициирование аутентификации 3‑D Secure после сбора дополнительных сведений об устройстве пользователя должен содержать идентификаторы проекта и платежа, индикатор получения уведомления о сборе сведений в допустимый период и подпись.

{ 
  "general":{ 
    "project_id":42,
    "payment_id":"456789",
    "signature":"v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
  },
  "threeds_completion_indicator":true
}

Формат оповещения о необходимости перенаправления

Для перенаправления пользователей от веб-сервиса мерчанта к страницам аутентификации (ACS URL) эмитентов необходимо принимать промежуточные оповещения от платёжной платформы и использовать информацию из них, включённую в объект redirect объекта threeds2. Формат таких оповещений является типовым (подробнее), при этом в состав объекта redirect включаются сведения, которые необходимо использовать следующим образом: адрес из параметра url — в атрибуте action используемой формы в клиентской части веб-сервиса, а данные из других параметров — в тегах input этой же формы.

{ 
  "threeds2":{ 
    "redirect":{ 
      "url":"https://example.com/ACS",
      "params":{
        "creq":"ewogICAiYWNzVHJhbnNJCIDAtMDAwMDAwMDAwN2Q5Ip9",
        "threeDSSessionData":"240000549"
      }
    }
  }
}

<!DOCTYPE html SYSTEM "about:legacy-compat">
<html class="no-js" lang="en" xmlns="http://example.com/xhtml">
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta charset="utf-8" />
    <title>3D Secure Processing</title>
    <link href="https://example.com/mpi.css" rel="stylesheet" type="text/css" />
  </head>
  <body>
    <div id="main">
      <div id="content">
        <div id="order">
          <h2>3D Secure Processing</h2>
          <img src="https://example.com/preloader.gif" alt="Please wait.." /> <img src="https://
example.com/verifiedbyvisa.png" alt="Verified by VISA" />
          <div id="formdiv">
            <script type="text/javascript">
              function hideAndSubmitTimed(formid) { timer=setTimeout("hideAndSubmit('"+formid+"');",
100);} function hideAndSubmit(formid) { var formx=document.getElementById(formid); tif (formx!=null)
{ formx.style.visibility="hidden"; formx.submit(); } }
            </script>
            <div>
              <form id="webform0" name="red2ACSv2" method="POST" action="https://
example.com/ACS" accept_charset="UTF-8"> 
<input type="hidden" name="_charset_" value="UTF-8" /> 
<input type="hidden" name="creq" value="ewogICAiYWNzVHJhbnNJCIDAtMDAwMDAwMDAwN2Q5Ip9" /> 
<input type="hidden" name="threeDSSessionData" value="240000476" /> 
<input type="submit" name="submitBtn" value="Please click here to continue" /> 
              </form>
            </div>
          </div>
          <script type="text/javascript">
           thideAndSubmitTimed('webform0');
          </script>
          <noscript>
            <div align="center"> <b>Javascript is turned off or not supported!</b> <br/> </div>
          </noscript>
        </div>
      </div>
    </div>
  </body>
</html>

Формат уведомления о результате аутентификации

Для уведомлений со сведениями о результатах аутентификации используются форматы эмитентов, при этом в состав таких уведомлений должен включаться параметр cres, который должен передаваться далее в платформу со стороны веб-сервиса в запросах на продолжение платежа.

cres=ewogICJhY3NUcmFuc0lEIiA6ICJkYTIyNjY0Mi1hYzJhLTQ0N2ItYWFiYS1lNWI2Nzc2MjdmZmMiLAogICJtZXNzYWdlVHlwZSIgOiAiQ1JlcyIsCiAgIm1lc3NhZ2VWZXJzaW9uIiA6ICIyLjEuMCIsCiAgInRocmVlRFNTZXJ2ZXJUcmFuc0lEIiA6ICI5ZjE3OWM0My02NjA2LTU3YWUtODAwMC0wMDAwMDAwMDA3ZGQiLAogICJ0cmFuc1N0YXR1cyIgOiAiWSIKfQ&threeDSSessionData=240000554

cres=ewogICAiYWNzUmVmZXJlbmNlTnVtYmVyIiA6ICJBQ1NFbXUyIiwKICAgImFjc1RyYW5zSUQiIDog%0D%0AIjAwMDAwMDAwLTAwMDUtNWE1YS04MDAwLTAxNmQzZTI2ZWU2YyIsCiAgICJtZXNzYWdlVHlwZSIg%0D%0AOiAiQ1JlcyIsCiAgICJtZXNzYWdlVmVyc2lvbiIgOiAiMi4xLjAiLAogICAidGhyZWVEU1NlcnZl%0D%0AclRyYW5zSUQiIDogIjhiMjM0Y2ZmLTkzNjAtNTc5Yy04MDAwLTAwMDAwMDAwMDlhNiIsCiAgICJ0%0D%0AcmFuc1N0YXR1cyIgOiAiTiIKfQ==&threeDSSessionData=240000622

Формат запроса на продолжение платежа

Для продолжения проведения платежа, когда это актуально после аутентификации с вариантом challenge flow, каждый раз должен использоваться POST-запрос к конечной точке /v2/payment/card/3ds_result. В каждом таком запросе должны использоваться следующие объекты и параметры:

• general — объект, содержащий основные идентификационные сведения запроса:
  • project_id — идентификатор используемого проекта;
  • payment_id — идентификатор проводимого платежа;
  • signature — подпись к данным запроса, составленная после указания целевых параметров (подробнее — в статье Работа с подписью к данным).
• cres — сведения о результате аутентификации 3‑D Secure, полученные в соответствующем уведомлении.

Таким образом, корректный запрос на продолжение проведения платежа с учётом результата аутентификации 3‑D Secure должен содержать идентификаторы проекта и платежа, сведения о результате аутентификации от эмитента и подпись.

{
   "general": {
   "project_id": 42,
   "payment_id": "456789",
   "signature": "v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
   },
   "cres": "ewogICJhY3NUcmFuc0lEIiA6ICJkYTIyNjY0Mi1hYzJhLTQ0N2ItYWFiYS1lNWI2Nzc2MjdmZmMi
LAogICJtZXNzYWdlVHlwZSIgOiAiQ1JlcyIsCiAgIm1lc3NhZ2VWZXJzaW9uIiA6ICIyLjEuMCIsCiAgInRocmVlR
FNTZXJ2ZXJUcmFuc0lEIiA6ICI5ZjE3OWM0My02NjA2LTU3YWUtODAwMC0wMDAwMDAwMDA3ZGQiLAogICJ0cmFuc1
N0YXR1cyIgOiAiWSIKfQ"
  // Сведения о результате аутентификации
}