Поддержка платежных приложений Android в WebView с помощью API запроса платежа

Rouslan Solomakhin

Dominik Mengelt

José Luis Zapata

Вы можете использовать API запроса оплаты для запуска приложений Android-платежей с веб-сайтов, работающих внутри WebView . Это работает с использованием того же JavaScript API, который уже доступен в Chrome.

Эта функция доступна, начиная с версии WebView 136, которая обычно поставляется с Chrome 136.

Настройка запроса на оплату в хост-приложениях WebView

Для запуска приложений Android Payment из WebView API запроса платежа запрашивает систему, используя намерения Android. Для поддержки этого хост-приложение WebView должно объявить эти намерения в своем файле AndroidManifest.xml .

По умолчанию запрос платежа в WebView отключен.

Чтобы включить его с помощью WebSettingsCompat из AndroidX WebKit версии 1.14.0 или выше, выполните следующие действия:

Шаг 1: Добавьте зависимость AndroidX WebKit

dependencies {
  implementation("androidx.webkit:webkit:1.14.0")
}

dependencies {
  implementation 'androidx.webkit:webkit:1.14.0'
}

[versions]
webkit = "1.14.0"

[libraries]
androidx-ktx = { group = "androidx.webkit", name = "webkit", version.ref = "webkit" }

Шаг 2: Импорт необходимых классов

Эти классы позволяют вам получать доступ к параметрам WebView и настраивать их, а также проверять поддержку функций во время выполнения.

import android.webkit.WebSettings;
import android.webkit.WebView;
import androidx.webkit.WebSettingsCompat;
import androidx.webkit.WebViewFeature;

Шаг 3: Включите запрос платежа в коде WebView

Этот шаг включает функцию запроса платежа в вашем WebView и гарантирует, что сайт сможет активировать ее с помощью JavaScript.

Этот шаг включает функцию запроса платежа в вашем WebView и гарантирует, что сайт сможет активировать ее с помощью JavaScript.

AndroidView(
  factory = {
      WebView(it).apply {
          settings.javaScriptEnabled = true
          if (WebViewFeature.isFeatureSupported(
                  WebViewFeature.PAYMENT_REQUEST)) {
              WebSettingsCompat.setPaymentRequestEnabled(settings, true);
          }
      }
  },
  update = {it.loadUrl(url)
  }
)

WebView webView = findViewById(R.id.webview);
WebSettings webSettings = mWebView.getSettings();
webSettings.setJavascriptEnabled(true);
if (WebViewFeature.isFeatureSupported(
        WebViewFeature.PAYMENT_REQUEST)) {
    WebSettingsCompat.setPaymentRequestEnabled(webSettings, true);
}

Шаг 4: Добавьте фильтры намерений в AndroidManifest.xml

Эти фильтры позволяют WebView обнаруживать и вызывать платежные приложения Android, используя системные намерения:

<queries>
  <intent>
    <action android:name="org.chromium.intent.action.PAY"/>
  </intent>
  <intent>
    <action android:name="org.chromium.intent.action.IS_READY_TO_PAY"/>
  </intent>
  <intent>
    <action android:name="org.chromium.intent.action.UPDATE_PAYMENT_DETAILS"/>
  </intent>
</queries>

Используйте следующие намерения в AndroidManifest.xml для поддержки ключевых функций запроса оплаты:

• org.chromium.intent.action.PAY : Позволяет WebView вызывать платежные приложения Android и получать ответы на платежи. Узнайте больше в руководстве разработчика платежных приложений Android .
• org.chromium.intent.action.IS_READY_TO_PAY : Позволяет веб-сайтам проверять, настроен ли у пользователя поддерживаемый способ оплаты. Узнайте больше в руководстве разработчиков платежных приложений Android
• org.chromium.intent.action.UPDATE_PAYMENT_DETAILS : Поддерживает динамические обновления, например, когда пользователь меняет свой адрес доставки или опцию в платежном приложении. Узнайте больше в разделе Предоставление информации о доставке и контактах из платежного приложения Android .

Шаг 5: Перестройте и опубликуйте свое приложение

После внесения этих изменений перестройте приложение и выпустите обновленную версию в Play Store.

Дополнительно: настройка проверок готовности

Помимо запуска приложений для оплаты Android, API запроса платежа позволяет веб-сайтам проверять, готов ли пользователь платить. Например, веб-сайты могут определять, настроен ли у пользователя поддерживаемый способ оплаты.

Chrome включает настройку, которая позволяет пользователям включать или отключать эту проверку. Приложения-хосты WebView могут предложить аналогичный переключатель с помощью:

WebSettingsCompat.setHasEnrolledInstrumentEnabled(WebSettings, boolean)

Этот параметр включен по умолчанию ( true ). Когда он активен, он позволяет веб-сайтам, работающим в WebView, определять, есть ли у пользователя зарегистрированный платежный инструмент.

Проверьте поддержку запроса на оплату в JavaScript

После вызова WebSettingsCompat.setPaymentRequestEnabled(webSettings, true) в Java или Kotlin интерфейс window.PaymentRequest становится доступным в JavaScript. Это можно использовать для обнаружения функций на веб-странице:

if (window.PaymentRequest) {
  // Payment Request is available.
} else {
  // Payment Request is not available.
}

Когда window.PaymentRequest доступен, веб-страница может продолжить инициировать платежную транзакцию .

Интеграция платежных приложений Android с Payment Request

Для поддержки запроса на оплату платежные приложения Android должны реагировать на определенные системные намерения и безопасно обрабатывать платежные данные. Эти руководства объясняют, как регистрировать платежные методы, внедрять платежный сервис и защищать ваше приложение:

• Руководство разработчика платежных приложений для Android : создание и настройка платежного приложения, включая обработку намерений и проверку вызывающего приложения.
• Настройте способ оплаты : зарегистрируйте свой способ оплаты и определите его возможности.

Защитите свое приложение от несанкционированного использования

Любое приложение может вызывать платежные намерения Android org.chromium.intent.action.PAY , IS_READY_TO_PAY и UPDATE_PAYMENT_DETAILS . Приложения-хосты WebView также могут наблюдать, инициировать и перехватывать вызовы Payment Request. Поскольку WebView работает внутри процесса приложения-хоста, он не может ограничивать использование этих намерений. Вредоносные приложения могут использовать это для запуска атак Oracle .

При атаке оракула платежное приложение непреднамеренно раскрывает информацию, которую не должно раскрывать. Например, злоумышленник может использовать IS_READY_TO_PAY , чтобы узнать, какие платежные инструменты доступны пользователю.

Вам необходимо встроить в свое платежное приложение средства защиты, чтобы защититься от подобного рода злоупотреблений.

Для предотвращения злоупотреблений используйте следующие стратегии:

• Throttle requests : Ограничьте частоту ответов вашего приложения на IS_READY_TO_PAY . Например, отвечайте только раз в 30 минут.
• Использовать шифрование : шифровать конфиденциальные ответы, чтобы только ваши доверенные торговые серверы могли их расшифровать. Всегда выполняйте шифрование и расшифровку на стороне сервера.
• Ограничить доступ : Ведите список разрешенных доверенных хост-приложений WebView, используя их имена пакетов и сертификаты подписи SHA256. Узнайте больше в руководстве разработчиков платежных приложений Android .