手机没网了，却还能支付，这是什么原理

对于第一种方式，需要手机端 APP 扫码，然后弹窗确认付款，这种方式是没有办法在手机没有网络的情况完成支付，所以我们上文说的没有网络的情况特指付款码支付的场景。

二、付款码付款流程

在聊付款码离线支付的前提前，我们先来来看下付款码的整体流程，以超市购物为例，一次付款码的支付信息流如图所示：

这个过程商家后台系统是需要调用的支付宝条码支付的接口，完成支付。

「由于商家后台需要在线联网与支付宝后台通讯，所以说付款码的离线支付，指的是客户端没有的网络的情况，商家端其实必须实时联网在线。」

一次付款码接口调用流程如图所示：

]

来自支付宝官网

通过上面两张图，我们整体了解付款码交互流程。

付款码的技术方案其实可以分为客户端在线与离线的两种情况，下面我们来看下两种方案具体实现方式。

三、在线码方案

客户端在线码的方案，这个应该比较容易想到，只要支付宝/微信在登录的情况下，点击付款按钮，客户端调用后台系统的申请付款码接口。

后台系统受到请求之后，生成一个付款码，然后在数据库保存付款码与用户的关系，并且返回给客户端。

只要客户端在有效期内展示该付款码，就可以完成支付，否则该二维码就将会过期。

使用这种方案，相对来说比较安全，因为每次都是服务端生成码，服务端可以控制幂等，没有客户端伪造的风险的。

另外即使需要对付款码规则调整，比如付款码位数增加一位，我们只要调整服务端代码即可，客户端都无需升级。

「不过这种方案缺点也比较明显，客户端必须实时在线联网，没有网络则无法获取付款码。」

另外，现在有一些智能设备也开始支持支付宝支付，这些设备中很大一部分是没有联网的功能（比如小米手环四），那这种情况是没办法使用在线码方案。

基于这种情况，所以开始有了离线码方案。

离线码方案

说起离线码大家可能比较陌生，但是实际上你如果仔细观察，其实很多场景都用到了离线码。

比如说以前去黑网吧玩梦幻西游的时候，账号总是被盗。

没办法，花了一笔重资买了一个网易将军令，每次登录的时候，除了输入用户名与密码以外，还需要输入动态口令。从此账号就很少被盗了。

又比如说每次网易支付的时候，我们除了输入银行卡密码以外，还需要输入网银盾上动态码，这样才能完成支付。

❝画外音：

这里又要吐槽一下，网银盾以前真的超难用，动不动就驱动不兼容。还记得当初用网银充值黄钻，搞了一下午都没有成功–！❞

当然上面这些可能已经是_老古董_了，很多人都可能没用过，现在比较流行是**「手机验证器APP」**，比如 「Google Authenticator」 等。

这种令牌器，动态产生一次性口令（「OTP, One-time Password」），可以防止密码被盗用引发的安全风险。

其实付款码离线方案技术原型就是基于这种方案，所以下面我们就基于 Google Authenticator，来了解一下这其中的原理。

1.动态口令技术原理

首先如果我们需要使用 「Google Authenticator」，我们需要在网站上开启二次验证功能，以

Google 账号为例，在设置两步验证的地方可以找到如下设置：

当我们点击设置，将会弹出一个二维码，然后使用 「Google Authenticator」 APP 扫码绑定。

当我们绑定之后， 「Google Authenticator」 APP 将会展示动态码。

我们来解析一下这个二维码，对应下面这个字符串：

otpauth://totp/Google%3Ayourname@gmail.com?secret=xxxx&issuer=Google

上面的字符串中，最重要就是这一串密钥 secret，这个是一个经过 「BASE32」 编码之后的字符串，真正使用时需要将其使用**「BASE32」** 解码，处理伪码如下：

original_secret = xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx

secret = BASE32_DECODE(TO_UPPERCASE(REMOVE_SPACES(original_secret)))

「这个密钥客户端与服务端将会同时保存一份，两端将会同样的算法计算，以此用来比较动态码的正确性。」

我们以客户端为例，生成一个动态码，首先我们需要经过一个签名函数，这里 **Google Authenticator **采用的 「HMAC-SHA1」，这是一种基于哈希的消息验证码，可以用比较安全的单向哈希函数（如 SHA1）来产生签名。

签名函数伪码如下：

hmac = SHA1(secret + SHA1(secret + input))

上面函数中的，input 使用当前时间整除 30 的值。

input = CURRENT_UNIX_TIME() / 30

这里时间就充当一个动态变参，这样可以源源不断产生动态码。

「另外这里整除 30，是为了赋予验证码一个 30 秒的有效期。」

这样对于用户输入来讲，可以有充足时间准备输入这个动态码，另外一点客户端与服务端可能存在时间偏差，30 秒的间隔可以很大概率的屏蔽这种差异。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级安卓工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Android移动开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助，可以添加下面V无偿领取！（备注Android）

总结

Android架构学习进阶是一条漫长而艰苦的道路，不能靠一时激情，更不是熬几天几夜就能学好的，必须养成平时努力学习的习惯。所以：贵在坚持！

上面分享的字节跳动公司2021年的面试真题解析大全，笔者还把一线互联网企业主流面试技术要点整理成了视频和PDF（实际上比预期多花了不少精力），包含知识脉络 + 诸多细节。

【Android学习PDF+学习视频+面试文档+知识点笔记】

【Android高级架构视频学习资源】

，更不是熬几天几夜就能学好的，必须养成平时努力学习的习惯。所以：贵在坚持！

上面分享的字节跳动公司2021年的面试真题解析大全，笔者还把一线互联网企业主流面试技术要点整理成了视频和PDF（实际上比预期多花了不少精力），包含知识脉络 + 诸多细节。
[外链图片转存中…(img-h6dPZg66-1710703403780)]

【Android学习PDF+学习视频+面试文档+知识点笔记】

【Android高级架构视频学习资源】

Android部分精讲视频领取学习后更加是如虎添翼！进军BATJ大厂等（备战）！现在都说互联网寒冬，其实无非就是你上错了车，且穿的少（技能），要是你上对车，自身技术能力够强，公司换掉的代价大，怎么可能会被裁掉，都是淘汰末端的业务Curd而已！现如今市场上初级程序员泛滥，这套教程针对Android开发工程师1-6年的人员、正处于瓶颈期，想要年后突破自己涨薪的，进阶Android中高级、架构师对你更是如鱼得水，赶快领取吧！