小天管理 发表的所有内容
-
前言 前段时间看到差评的公众号发了一篇文章《“支付宝碰一下”到底是个啥?》,轻蔑的喵了一眼,心想不就是 NFC 支付嘛,都几十年的老技术了,有啥好惊讶的。随便翻了一下内容,看到这句话不淡定了。 抱着好奇心,我认真看完了全文,然后我确实被支付宝的骚操作惊到了,搞出这个人的脑回路肯定不正常,但确实很巧妙。 过去十几年,移动支付在国内迅速普及,离不开支付宝和微信大力推广,大家都习惯了使用手机扫收款码或者出示付款码付款。而在此过程中,大家还是会有争论,就是扫码支付好,还是 NFC 支付好,这类话题在知乎上也有很多争论(为何扫码支付在中国流行,在发达国家被排斥?)。总结来说,NFC 支付需要 POS 机,申请门槛高,手续费高,这阻挡了它在移动支付时代在国内的普及,而扫描支付收费低,不需要昂贵的设备,所以迅速占领了国内的市场,同时也形成了国内扫码支付的格局。但!这些回答都有个共性,就是论支付的便利性,NFC 支付应该是最便捷的,最符合人类直观感受的,大家不需要打开支付 app ,出示付款码 or 扫一扫,只需要碰一下商家设备,就完成支付了。我想这也是支付宝推出“碰一下支付”的原因,主要还是为了便捷性。 “支付宝碰一下”原理 支付宝推出“支付宝碰一下”完全是无奈之举,这其中原因主要还是苹果公司没有给第三方公司开放 NFC 权限,国内的 Apple pay 是和银联合作的,它只是在手机中模拟了一张银行卡,本质还是 POS 机模式。正如“差评”中说的那样“国内安卓和 iOS 两大系统活跃设备数大概二八开,分别有 9.5 亿和 2.6 亿用户。作为跨端的第三方支付,支付宝肯定得找一个 iOS 与安卓都能用的方案”。 那支付宝是如何解决兼容问题的,我根据“差评”文章中提到的内容,以及反编译支付宝 Android app ,得出了以下结论(不一定准确。 在了解“支付宝碰一下”的原理之前,首先需要了解“扫码支付的方式”和 NFC 的三种主要操作模式。 扫码支付的方式 付款码支付(商家扫用户付款码)。这种类型是目前有一定规模商家用的最多的方式,不同于用户主动扫码,这种方式是用户出示自己的付款码,由商家确定金额,通过扫描枪扫描用户的付款凭证。这种方式同样十分便捷,而且收银系统的成本很低,也能轻易跟踪订单的内容,退款也容易。 扫码支付(用户扫商家二维码)。这种方式分为两种。 无金额的收款码,这种类型就是我们去各种小商小贩消费,他们会提供一个收款码,我们扫描这个收款码,手动输入付款金额,然后输入密码付款。这种付款方式成本最低,打印一个收款码就行,但它有个很明显的弊端,只适合小本生意,因为你无法使用收银系统跟踪这些订单的类型,也就不知道这笔交易卖的是什么商品,后期也就无法分析相关数据去优化你的商业模式。 带金额的收款码。这个方式可能是最早的收款模式,但是随着移动支付的普及越来越被人忘记,它目前还在使用的场景就是 PC 浏览器支付了,通过生成带有金额的付款码,用户打开支付 App 扫描支付。 具有 NFC 功能的 Android 设备三种操作模式 读取器/写入器模式,允许 NFC 设备读取和写入被动 NFC 标签和贴纸。 点对点模式,允许 NFC 设备与其他 NFC 对等设备交换数据; Android Beam 使用此操作模式。 卡模拟模式,允许 NFC 设备本身充当 NFC 卡。然后,可通过外部 NFC 读取器(例如 NFC 销售终端)访问模拟 NFC 卡。 为什么要提扫码支付的方式呢?因为支付宝的“支付宝碰一下”本质是带金额的收款码,只不过之前我们是通过摄像头获取二维码的订单信息。比如上面的扫码支付,它本质是一个链接“https://qr.alipay.com/bavh4wjlxf12tper3a”,它是支付宝返回的 qr_code 。而“支付宝碰一下”是通过手机的 NFC 读取器模式获取付款链接,这就是支付宝的骚操作了,“支付宝碰一下”不是手机模拟 NFC 卡让收款设备去读取数据的传统模式,而是通过让收款设备模拟 NFC 卡,让手机开启 NFC 读卡模式读取收款设备上的信息。也就是说“支付宝碰一下”是伪 NFC 支付,为了兼容 iOS 设备,它不是传统的卡模拟模式。 那么支付宝是如何实现这样一套伪 NFC 支付功能的呢? NFC 动态标签 有一种 NFC 芯片叫做动态 NFC 标签,它可以随时通过编程改变 NFC Tag 中的信息内容。“支付宝碰一下”的那款设备本质就是一个 NFC Tag 生成器,收银机下发的带金额的收款二维码 qr_code 都会被这台设备转化为一条链接然后烧写到 NFC 动态芯片中,手机 NFC 读取 NFC 动态芯片的收款链接,唤醒支付宝支付。这也是为什么支付宝的这款设备可以兼容现有收银系统的原因。 iOS 和 Android 的唤醒原理 先上结论,下面这个截图是我专门跑到一个配备了“支付宝碰一下”设备商家的店里,通过 NXP TagInfo App 读取到的信息。 iOS 在 NFC tag 这没有太多花花肠子,它是最简单的,手机 NFC 读取到 tag 中的 URI (对应上面信息中的第一条)唤醒“快应用”,快应用再唤醒支付宝 App ,然后跳转支付( [支付宝 NFC 支付丝滑体验] )。当然,这其中会出现一个问题,就是在 iOS 的设备上,如果有人发了那条收款链接,是可以直接唤醒支付宝,即使没有通过 NFC 。当然,我不确定支付宝在 iOS 有没有做保护措施判断链接是来自什么途径,不然的话,开启了“碰一下“极速模式的话,有个人给你发了这条链接,你点了就付款出去了。 Android 麻烦许多,但 Android 也会避免 iOS 上出现无法判断链接来源的问题,因为 Android 有一套 Android Application Record (AAR)标签系统。当手机 NFC 读取到对应的 NFC Tag 时,它可以直接唤醒跳转到指定的 Android app ,详细内容可以查看 Android NFC API。这也是为什么“支付宝碰一下”在 Android 使用更便捷的原因。通过反编译支付宝的 APP ,查看 AndroidManifest.xml 文件,我们可以看到,根据 NFC Tag 中的 Record #2 ,它唤醒了包名为 com.eg.android.AlipayGphone (支付宝包名),同时携带的 URI data 满足第四条的规则,随后它会唤醒支付宝的 SchemeLauncherActivity 的界面处理 data 。 只有通过手机 NFC 读取到的链接,才会跳转到付款界面,不然会报错。 通过反编译代码我们也可以看到,支付宝有判断链接来源。 判断 Intent 的 action 来源确定是否是 NFC 。 链接中的信息解读: 原链接:https://render.alipay.com/p/s/ulink/?scene=nfc&scheme=alipay%3A%2F%2Fnfc%2Fapp%3Fid%3D20002123%26appScheme%3DNFC_PAY_APP%26pageParams%3D%257B%2522k%2522%253A%25220bc141253ld7rnmlllee1af_n%2522%257D scheme decode 后为:alipay://nfc/app?id=20002123&appScheme=NFC_PAY_APP&pageParams=%7B%22k%22%3A%220bc141253ld7rnmlllee1af_n%22%7D pageParams decode 后为:{"k":"0bc141253ld7rnmlllee1af_n"} “支付宝碰一下”设备主要传递的信息就是这个 json 的 k 值,它其实就是和摄像头扫描付款码获取到的信息是一样的。 尝试模拟“支付宝碰一下” 在看完支付宝 Android App 处理“支付宝碰一下”整个流程的代码之后,我发现发送到支付宝后端唯一有效的值就是通过"_"截断的 k 值,也就是这么一串"0bc141253ld7rnmlllee1af"值。 所以我猜“支付宝碰一下”的设备是不是就是通过把 qr_code 链接中的“https://qr.alipay.com/bavh4wjlxf12tper3a”,prefix+'_n'直接写入到动态 NFC 芯片中了。所以我尝试去模拟一下这个过程,我买来了最便宜的 NFC NDEF 芯片。 随后我通过支付宝开放平台当面付的扫码支付的接口 alipay.trade.precreate 来从支付宝后端获取 qr_code ,将其拼接为完整的“支付宝碰一下”nfc link ,最后通过 NXP 的 TagWriter App 写入信息。 结论:模拟失败,我猜支付宝那个“碰一下设备”还是做了一层中转的,它应该是吧 qr_code 再去转换了一下,兼容现有收银系统的同时,也防止我这种人直接把设备破解了。 为何认为是 49 年入国军行为 当我剖析了“支付宝碰一下”的原理,为支付宝为了兼容苹果手机而想到这么一个骚操作感到惊讶地时候,我看到一条这样的消息《为避免巨额罚单,苹果向第三方开放 NFC 支付》。 苹果又双叒叕一次向欧盟低头了。当地时间 7 月 11 日,欧盟委员会方面宣布已与苹果公司达成和解协议,后者承诺向竞争对手免费开放基于近场通信( NFC )技术的移动支付功能,并且相关承诺将持续 10 年,适用于整个欧洲经济区。这将是苹果史上第一次向第三方开放 NFC 支付,继此前的第三方应用商店、第三方支付渠道之后,苹果 “围墙花园” 仅存的篱笆又一次被推倒。 也就是说,支付宝为了规避苹果公司不给第三方提供 NFC 接口功能,而绞尽脑汁搞出来这么一个伪 NFC 支付功能,还专门设计了一台收款设备,现在因为苹果公司要开放 NFC 功能给第三方,完完全全泡汤了。这不是 49 年入国军的行为嘛!他们还要花大力气去推广这个设备,到时苹果开放了 NFC 功能,能够实现真 NFC 支付的话,这些设备不就成电子垃圾了?我看市场报价这台设备 1800 元,不是纯纯的坑商家行为吗? 他们应该是想的更远 但是,当我看到反编译的支付宝 APP ,支付宝其实把 NFC 那几种模式都集合起来了,我想事情并没有那么简单。试想一下,当苹果开放了其 NFC 功能给第三方之后,所有公司做的第一件事是什么?没错,尽量让自己公司的 APP 适配实现 NFC 支付功能,但还存在另外一个问题,你的 APP 有 NFC 支付方式,但商家有 NFC 收款设备吗?现在大大小小的商家收银系统都是围绕扫描支付做的,它们并没有 NFC 收款功能( POS 机除外)。 结论:支付宝现在推这么一个 NFC 伪支付功能和设备,他们主要是想打一个时间差,在苹果给第三方开放 NFC 功能之前,先把 NFC 收款设备普及出去!因为那台现在可以动态生成 NFC Tag 的伪 NFC 支付收款设备,它是联网的,它可以随时更新系统和软件实现真 NFC 收款功能。等微信支付这些竞争对手实现 NFC 支付功能之后,它们要推收款设备的时候会发现商家都用上了支付宝的设备,支付宝会给你兼容?还是你让商家又摆几个设备上去?同时支付宝现在就培养用户使用“碰一下支付”的习惯,让用先入为主,后期其它三方公司想要改变用户习惯,还要普及收款设备,阻力可不小! 思考:前面提到 Android 目前有三种 NFC 功能,“支付宝碰一下”使用了最简单的第一种,Apple Pay 和各种 Android 手机厂商的各种 Pay 使用的都是第三种卡模拟模式。如果后期支付宝和微信实现真 NFC 支付功能,他们会选择哪种呢?是目前主流的卡模拟模式( POS 机模式),还是使用第二种点对点通信,我猜支付宝肯定不会选择卡模拟模式( POS 机模式)。 -
花了 2 个星期时间,从零开始,开发了一个 CheatSheet(小抄)站 技术栈如下: 1.基础框架:nuxt3 最新版本 2.CMS:nuxt-content 3.国际化:nuxt-i18n 4.ui 组件:nuxt-ui-pro 后续规划: 接入 ai 功能 链接直达: https://chatsheet.org
-
家里有三台小米的路由器做 ap 组 mesh ,主路由是爱快,一台红米 ax5400 电竞版在客厅做主 mesh ,一台是 ax6000 在书房,还有一台红米 ax3000 在卧室,中间隔个客厅。电视机是雷鸟的 645c 和 535c ,投影是海信 c1 都在卧室里面。最近都出现断网的情况,刚开机的时候网络正常连接,待机一段时间后显示连接 WiFi ,但已经断开网络,无法加载视频,电视机待机一段时间后有可能会恢复网络,投影仪是一直断网。我怀疑是 wifi 强度太高连错了路由器,就把信号强度由穿墙切到了标准,投影仪和电视机还是断网。尝试过不组 mesh ,使用一台红米 ax5400 电竞版放客厅,没有出现断网情况。使用任意两台路由器组 mesh 都出现断网,去 jd 换了台新的 ax3000 依旧出现断网情况。dhcp 是静态,应该不存在占用 ip 的问题。请问还有什么排查的方法,难道是小米 mesh 的问题?家里其他无线设备没有出现类似情况。值得一提的是之前家里用 ax6000 做主路由,ax3000 做子路由 mesh 没有出现断网,在我使用爱快做主路由,另外几台小米做 ap 后才出现类似情况,难道小米的路由器不能做 ap 组 mesh ?
-
我微博私信收到了 Share 作者 @我是一只小小小鸡仔 的一条链接 https://appservice.notion.site/f5954f3fd5484586b79695e145b8219f 。点进去可以看到是一份指引,激活第一个 app 后启动第二个 app 就能看到全新设计的第三方微博客户端,否则第二个 app 打开为白屏。疑似是通过这种方式绕过一些法律问题? 亲测以前的激活码也可以用。不过我的码已经过期了,所以重新买了一个 ¥49.9/年,目前使用正常
-
服务器是 CentOS7.9 系统. 稳定运行近 70 天, 未修改配置. ssh 端口, 18905. 有两台, A 和 B. 服务器在 192.9.201.x 网段; 微软用户在 192.9.204.y 段, 都在一个楼里. 192.9.0.0/16 是楼里的私有内网. 27 日午饭之前, 微软用户使用 MobaXterm, 正常登录服务器. 可以上传/下载文件. 当然, 用户是操作$HOME 下自己的文件. 27 日午饭后, 某厂家技术前来安装硬件防火墙. 防火墙, 只前置在服务器前面. 意味着, 所有非 192.9.201.x 网段, 都和硬件防火墙没有关系. 问题出现了, 硬件防火墙启用后. 所有微软用户, 可以登录服务器, 但是上传和下载, 都没反应. 同时, Mac/Linux, 指令模式, 可以从本地向服务器 scp 东西, 也就是, @Mac/Linux, scp XXXX userName@remote-centOS:~ 工作; @Mac/Linux, scp userName@remote-centOS:~/File . 工作; @remote-centOS, scp xx mac:~ 工作; @remote-centOS, scp mac:~/File . 工作; 微软中, 使用 MobaXterm 本地终端, scp 指令也工作. 就是点击鼠标, 上传下载, 无法工作. 微软, 使用另一个 Xmangaer, Xshell, 也是点击鼠标上传下载无法工作. 拆掉硬件防火墙, 网线插回原来的交换机端口. 微软客户端上的故障依旧. 在服务器上, 重启 sshd. 微软那边, 上传下载依旧故障. 服务器是浪潮的. 防火墙是某公司的. 防火墙公司认为是服务器那边有问题. 找浪潮技术排查了好久, 说为发现有变动过配置文件. 最近一次修改配置, 是 2 月份. 在浪潮排查的过程中, 其中一台机器恢复正常, 微软可以上传下载文件了. 而, 另一台, 依旧故障. A 和 B, 系统一样, 配置一样, 只是网络地址尾号不同. A 和 B, 均关闭了系统的防火墙. 在今天中午之前, A 和 B, 从未有微软用户报告, 无法上传下载文件. 微软用户, 只通过 SSH 客户端, 和服务器打交道哦. 防火墙, 是某公司的技术上门调试安装实施的. 这种奇葩的故障, 真奇葩. 另, A 和 B 机器的 SSH 日志, 均未发现异常, 浪潮的技术说. 各位, 有什么指导性方案? 目前, 机器还未进行系统重启. 两台机器, A 和 B, 分别是两套集群集群的登录节点.
-
-
我的背景: 毕业 4 年的 985 本硕,有一段 3 年的华子硬件经验,去年因为身心俱疲卷到抑郁+不看好本来的方向离职了。现在想想还是 naive 了。gap 之后花了大半年时间报了一个线上培训班,做了一个 demo 项目,Vue + springboot + 一点点 Redis 缓存,leetcode 刷了 160 多道,八股也看了一些。 问题: 这周开始投简历,发现主动联系我的只有 pdd,平安,ebay 外包,就是愿意看我简历帮我推,还没拿到面试的程度。我本来寻思可以拿一些小厂机会的,完全没有……咱就是说如果小厂是觉得我 over-qualified + gap 时间久 + 经验不够吗?应该如何破局呀? 我的想法: 继续改简历,把自己做的项目上线,做个 demo 链接; 投递多个岗位,准备多份简历,和老本行有关的岗位也投递起来; 是不是可以把 Java 开发这个方向的优先级放后面了,可以试一下 IT 支持一类的工作,楼主是女生英文和沟通能力是不错的。 大家有什么建议呀?我虽然心态还行,不过觉得这市场真的……卷麻了
V 站有没有在外企的大佬,能给咱们内推一下啊。 本人之前是一名游戏视频设计,现在想转行,看看外企的机会了,但是一直不知道怎么找外企的工作机会。 求捞。
本人 6 年 SRE ,近两年一直搞 K8s 的运维,懂一些 Python ,略懂一点机器学习,最近想换换赛道,搞一搞 AIOps 。不知道大家有啥入门的好资料推荐~
目前手里还有 13 台小机,可以跑 pcdn 或者每台 cpu 40%功耗挖门罗吗? 感觉闲置也是闲置
咨询 clockhouse 的问题: 问题: CREATE DATABASE hello1; 与 CREATE DATABASE hello ON CLUSTER 'xxxxx'; 产生了相同的效果,都在 clickhouse 所有节点上创建了数据库,咨询下可能存在的原因. 期望的效果: 不加 ON CLUSTER 只在本地创建,加了就在整个集群每个节点上创建.
我开发了几款软件,也在各种自媒体渠道上发布了很多推广和介绍的文章,想找到用户到底是通过哪种渠道找到我的软件的,以此来决定我应该在哪个渠道上多发推广信息。 我想到的是在用户使用的时候弹窗询问用户的获取渠道,但是感觉不太好,有独立开发者了解这个吗
项目地址: https://github.com/Mark24Code/mruby-devkit MRuby Devkit 是一个开箱即用的脚手架。 基于 MRuby 将你的 Ruby 代码打包成 二进制可执行文件。 方便开发类似于 Golang 的二进制可执行文件。 —— 灵感来自于 Golang 可以编译为二进制可执行文件的迷人特性。 接受简单的约定,专注于编写 Ruby 代码。轻松地 build 成二进制可执行文件。 使用设计 0. 编写程序 src 下编写 ruby 程序 1. 运行程序 模仿 golang 的 go run rake run 2. 编译当前程序(默认使用当前计算机平台) 模仿 golang 的 go build rake build 3.交叉编译的包 借助 Github Action 编译不同平台的可执行二进制文件。 可以 fork 仓库在 Github Action 运行结果下可以看到构建产物。 更多请查看 https://github.com/Mark24Code/mruby-devkit
我之前认为科技发展带来的成果会直接造福整个社会,现在发现还要经过统治阶级的再分配,而统治阶级再分配只会/只能为了自身利益。从最近世界第一的宁德时代号召加班,到《独裁者手册》中提到的丰富自然资源使独裁者不依赖人民而维持高压统治以及现在很多人只是幻想独裁者寿尽而亡。我认为如果科技发展使独裁者能够永生,核聚变使统治阶级拥有了类似无限石油的能力,那社会更可能变成赛伯朋克。
前几天买的电犀牛 R66S ,今天一看店铺都没了,一问原来店主说被仅退款搞的开不下去了。可惜原本还等着后续的系列呢。 https://imgur.com/ZzGa7Rq
今天我想和大家分享一篇关于 Chrome 浏览器最新 AI 特性——Gemini Nano 的教程和 API 文档。这项技术不仅令人兴奋,而且对于前端开发者和 Chrome 用户来说都具有重要意义。 如果你对我的博文感兴趣,或者有任何问题和建议,欢迎访问我的博客:博客链接:探索 Chrome 的 Gemini Nano AI:特性、教程与 API 文档,或者在本帖下留言讨论。
各位佬,请教一个问题,我写了一个下载 ts 视频的爬虫,在电脑上,开了 30 个线程去下载,就能达到 6MB/s ,现在我把这个脚本放到斐讯 N1 盒子的 docker 容器上去下载,把线程修改成了 4 个,结果下载就很慢,有什么办法能提升呢,想请各位指点哈,斐讯盒子接了移动硬盘。感谢各位指点。这里可能是线程的原因,我想知道的是如何提升下载速度,感谢各位。
有在芯片行业摸爬滚打多年的同学朋友吗?请教个问题: 1. 我们中国大陆为什么会被芯片卡脖子这么多年?故事的最早追溯到什么时候? 2. 在漫长的岁月里,经历了什么,导致各种大厂、中小厂、科研机构,都不研究芯片(或者研究了而没成果)? 3. 为什么最牛 X 的芯片厂要不在美国要不在台湾?世界上最大的光刻机公司在荷兰,这么多年利润这么厚卖这么贵,难道没人考虑做这个方向吗? 不做有几种: 1. 没意识到。看不见,看不上,追不上. 2. 意识到了,但实在是太难了,做了但是失败了. 在我的映像里,很多方向如果看到了,中国公司就会像鲨鱼一样一拥而上,直接把价格打到原先的 1/10 ,为什么这种现象没有出现在芯片行业?
We (and Apple) do not provide support for this old version. It is expected behaviour that some formulae will fail to build in this old version. It is expected behaviour that Homebrew will be buggy and slow. Do not create any issues about this on Homebrew's GitHub repositories. Do not create any issues even if you think this message is unrelated. Any opened issues will be immediately closed without response. Do not ask for help from Homebrew or its maintainers on social media. You may ask for help in Homebrew's discussions but are unlikely to receive a response. Try to figure out the problem yourself and submit a fix as a pull request. We will review it but may or may not accept it. Do not report this issue: you are running in an unsupported configuration. 最麻烦的是要编译一个 1.10 的 svn ,公司的 svn 又要 https,证书又有问题😭,只能旧版本连的上
使用 thunderbird 会导致 hotmail 邮箱不断被黑客暴力破解尝试登陆我的邮箱 现在是 2024 年 6 月 27 日 19:50:52 在大概 2 个月前开始,更新过 thunderbird 之后,凡是在 thunderbird 里面的 hotmail ,都会被黑客拿来尝试暴力破解,意图登陆我的 hotmail 。导致我登陆在里面的邮箱,都经常掉登陆,要我重新登陆,才会继续同步邮件。 现在 thunderbird 是不是内含黑客代码,可以偷 thunderbird 里面的邮箱地址,传到黑客那里,然后就被黑客不断暴力破解密码。 而其他邮箱比如 gmail 却没有这样的问题。
