Visa提出可信代理协议(Trusted Agent Protocol),目标是在代理式电商逐渐普及时,让商家与其站台防护服务能可靠识别具有商务意图且已核准的代理,并在不大改既有架构的前提下,通过HTTP消息签章串联身份与支付流程。
这套协议的设计出发点在于,代理式电商的自动化请求行为与一般用户的浏览模式明显不同,要是仅依据IP、请求频率或指纹特征进行判断,商家或防护系统可能误将合法代理流量视为爬虫或恶意行为,进而影响服务稳定与交易成功率。Visa指出,随着人工智能驱动流量在零售网站急剧增长,商家需要能识别可信任代理、维持对消费者身份与支付数据可见度的机制。
可信代理协议的信任架构分为3层签章,用来确认代理的身份与交易数据的真实性。第一层是加在HTTP消息标头的代理识别签章,根据网络安全标准RFC9421设计,代理会用私钥签署请求,商家则以公开密钥验证,确保请求确实来自受信任的代理。第二层为消费者识别对象,用来携带与代理签章相连的顾客识别数据。第三层则是代理支付容器,可包含付款承诺或交易摘要,两者皆以相同签章机制与识别码对应,确保数据一致与可验证。
代理识别签章包含几个必要字段,例如请求的网址与路径、创建与到期时间、密钥代号、算法、随机识别码以及互动标签。任何字段被改动或顺序错乱,验证就会失败,此设计让整个交易过程能自动检查来源真实性,防止重播或伪造的请求进入商家系统。
协议设计了可公开取得的密钥机制,让商家更容易导入。Visa与其他支付网络会在固定网址提供验证密钥,商家只需依密钥代号选取对应的公开密钥,就能完成签章验证。商家也能依据代理的可信度,提供更简化的页面或更顺畅的结账体验,同时降低误将自动化代理误认为爬虫、黄牛或恶意流量的风险。
可信代理协议的生态系目前仍在早期阶段,但以开放互通为发展方向。Visa与Cloudflare共同开发初版规格,并邀集支付与电商领域的服务供应商提供反馈。协议现阶段主要应用于Visa网络,但目标是与IETF、OpenID Foundation、EMVCo等标准组织同步,未来也将与其他新兴协议如Agentic Commerce Protocol、x402保持互通。
