安全付款确认注册流程是怎样的？

注册设备

信赖方 (RP) 注册设备时应遵循足够严格的用户验证流程。RP 必须确保客户已使用强效身份验证方法登录网站，以免账号被轻易盗用。请注意：在此过程中缺乏安全性也会使 SPC 面临风险。
RP 成功对客户进行身份验证后，客户现在就可以注册设备了。

在要求客户注册设备之前，RP 必须检查浏览器是否支持 SPC。

注册身份验证器

如需为 SPC 注册设备，请按照 WebAuthn 注册流程进行操作，并满足以下要求：
1.平台身份验证器为必填项：authenticatorSelection.authenticatorAttachment 为 platform。
2.需要进行用户验证：authenticatorSelection.userVerification 为 required。
3.必须提供可检测到的凭据（常驻密钥）：authenticatorSelection.residentKey 为 required。
此外，使用 isPayment: true 指定“付款”扩展程序。如果指定此扩展而未满足上述要求，则会抛出异常

1.rp.id：RP 的主机名。域名的 eTLD+1 部分必须与其注册地相匹配。它可用于在与 eTLD+1 匹配的网域上进行身份验证。
2.user.id：用户标识符的二进制表达式。身份验证成功后，系统会返回相同的标识符，因此 RP 应该提供持卡人一致的用户标识符。3.excludeCredentials：一组凭据，以便 RP 避免注册相同的身份验证器。

成功注册后，RP 会收到要发送到服务器进行验证的凭据。

验证注册

在服务器上，RP 必须验证凭据并保留公钥以供日后使用。服务器端注册流程与常规 WebAuthn 注册相同。无需执行任何其他操作即可遵守 SPC。

在 iframe 中注册

如果付款人尚未向 RP（付款发卡机构）注册其设备，则该付款人可以在商家网站上注册。在购买交易期间成功完成身份验证后，RP 可以请求付款人在 iframe 中间接注册其设备。
       为此，商家或父级网站必须使用权限政策在 iframe 中明确允许此操作。发卡机构遵循相同的步骤在 iframe 中注册身份验证器。
商家可通过以下两种方式允许注册：
1.商家网域提供的 HTML 中的 iframe 代码会添加一个 allow 属性，确保 allow 属性包含 payment 和用于调用 WebAuthn 注册的 RP 来源。

2.父级框架文档（从商家网域提供）会随 Permissions-Policy HTTP 标头一起发送：

后续

设备向信赖方注册后，客户便可以在商家的网站上使用安全付款确认功能确认付款。