Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Introduction
Les codes-barres rotatifs ressemblent à des codes-barres standards, mais changent régulièrement, généralement toutes les minutes. Le terminal ou lecteur est programmé pour n'accepter que la dernière version. Cette mesure de sécurité réduit les risques associés à la capture d'écran de codes-barres, en particulier le vol de billets ou la revente de billets non autorisée. La rotation des codes-barres peut également faire office de solution de remplacement pour les appareils qui ne peuvent pas bénéficier de la fonctionnalité Smart Tap, car ils ne sont pas compatibles avec la technologie NFC (incompatibilité matérielle ou logiciel désactivé).
Documentation de référence de l'API
Pour plus de détails techniques sur la rotation des codes-barres, reportez-vous à la
Type RotatingBarcode.
Sur l'appareil de l'utilisateur, un seul mécanisme d'utilisation est utilisé à la fois,
en fonction de la configuration de la carte et des capacités de l'appareil.
Les types d'utilisation suivants sont utilisés par ordre de priorité:
Smart Tap: si une charge utile Smart Tap est spécifiée et si l'appareil prend en charge
NFC/HCE
<ph type="x-smartling-placeholder">
</ph>
Notez que l'utilisateur peut la remplacer en cliquant sur "Afficher le code", ce qui force l'affichage du code-barres rotatif/statique.
Code-barres rotatif : si une charge utile de code-barres rotatif est spécifiée
Code-barres statique : si une charge utile de code-barres est spécifiée
La spécification de plusieurs charges utiles permet de garantir la disponibilité pour tous les utilisateurs, mais peut avoir des implications en termes de sécurité. En particulier, l'utilisation d'un code-barres statique en remplacement d'un code-barres rotatif annule la plupart des avantages liés à ce dernier. Les codes-barres statiques de remplacement ne s'affichent que dans les vues Web
ou sur des clients qui ne prennent
pas en charge les codes-barres rotatifs. À ce jour, nous prévoyons
tous les clients Google Wallet sont compatibles avec les codes-barres rotatifs.
Enregistrer le flux
L'API Google Wallet propose plusieurs flux, y compris :
Créer les classes de cartes cadeaux au moment de la sauvegarde ou à l'avance
Envoyer les objets complets dans votre JWT ou enregistrer les objets à l'avance, puis les référencer par ID dans votre JWT
Mettre à jour les objets après leur enregistrement
Le champ "rotatingBarcode" proposé est compatible
avec tous ces flux,
Toutefois, pour améliorer la sécurité, nous vous suggérons de procéder comme suit:
Appelez l'API object:insert pour insérer la carte dans la
Serveur Google Wallet et configurez le bouton "Ajouter à Google Wallet" pour
référencer l'objet spécifique par son ID dans votre jeton JWT. Ainsi, le JWT obtenu n'inclut pas la clé secrète du code-barres rotatif.
Utilisez une clé secrète OTP limitée à une seule carte.
À moins qu'elle ne soit mise à jour, la clé doit être valide pendant toute la durée de vie
la carte. Cette clé ne devrait pas être mise à jour selon une fréquence donnée pendant
au cours du fonctionnement normal.
Le schéma séquentiel suivant illustre le flux entre les différents acteurs
pour une intégration classique:
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/29 (UTC).
[null,null,["Dernière mise à jour le 2025/08/29 (UTC)."],[[["\u003cp\u003eRotating barcodes enhance security by changing periodically, mitigating risks associated with ticket theft or unauthorized resale.\u003c/p\u003e\n"],["\u003cp\u003eThey serve as a fallback for devices lacking NFC capabilities, ensuring accessibility for all users.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Wallet prioritizes redemption methods with Smart Tap first, followed by rotating barcodes, and lastly static barcodes.\u003c/p\u003e\n"],["\u003cp\u003eFor optimal security, it's recommended to use the \u003ccode\u003eobject:insert\u003c/code\u003e API to store pass data and reference it by ID in JWTs, avoiding exposure of the rotating barcode's secret key.\u003c/p\u003e\n"],["\u003cp\u003eEach pass should ideally have a unique OTP secret key, remaining valid throughout the pass's lifespan.\u003c/p\u003e\n"]]],["Rotating barcodes change periodically (e.g., every minute) and are accepted only when current by the reader, improving security against screenshotting and ticket theft. They serve as a fallback for devices lacking NFC for Smart Tap. The `RotatingBarcode` type utilizes a TOTP algorithm with parameters like `algorithm`, `periodMillis`, and `key`. The system prioritizes redemption methods: Smart Tap, then rotating barcode, and lastly, static barcode. For optimal security, passes should be pre-inserted via the `object:insert` API.\n"],null,["# Rotating Barcodes\n\nIntroduction\n------------\n\n\nRotating barcodes look just like regular barcodes but change periodically,\ntypically every minute, and the terminal/reader is programmed to only accept\nthe most recent one. This security measure reduces the risks associated with\nbarcode screenshotting, in particular ticket theft or unauthorized ticket\nresale. Rotating barcodes can also act as a fallback for devices that can't\ntake advantage of Smart Tap, due to not supporting NFC (lack of hardware, or\nsoftware disabled).\n\n### API reference\n\n\nFor technical details about Rotating Barcodes, see the\n[`RotatingBarcode` type](/wallet/retail/gift-cards/rest/v1/RotatingBarcode).\n\n### Example payload\n\n| JSON ||\n|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|---|\n| ``` { \"rotatingBarcode\": { \"type\": \"QR_CODE\", \"valuePattern\": \"MyRotatingBarcode-{totp_timestamp_seconds}-{totp_value_0}\", \"alternateText\": \"Ticket#: 1234567890\", \"totpDetails\": { \"algorithm\": \"TOTP_SHA1\", \"periodMillis\": \"3000\", \"parameters\": [ { \"key\": \"3132333435363738393031323334353637383930\", \"valueLength\": \"8\" } ] } } } ``` |\n\nFallback Mechanisms\n-------------------\n\n\nOn the user device, only one redemption mechanism is used at a given time,\ndepending on how the pass is configured and on the capabilities of the device.\nIn the order of priority, the following redemption types are used:\n\n1. Smart Tap: If a smart-tap payload is specified and if the device supports NFC/HCE\n - Note, this can be overridden by the user by clicking \"Show code,\" which will force the display of the rotating barcode/static barcode.\n2. Rotating barcode: If a rotating barcode payload is specified\n3. Static barcode: If a barcode payload is specified\n\n\nSpecifying multiple redemption payloads can ensure all users are supported but\nmay have security implications. In particular, using a static barcode as a\nfallback for a rotating barcode negates most of the security benefits of using\nrotating barcodes. A static barcode fallback will only be shown in web views\nor on clients that do not support rotating barcodes. As of today, we expect\nall Google Wallet clients to support rotating barcodes.\n\nSave Flow\n---------\n\nThe Google Wallet API offers several flows, including:\n\n- Creating the gift card classes at save time, or ahead of time\n- Sending the complete objects in your JWT, or saving the objects ahead of time then referencing them by ID in your JWT\n- Updating the objects after they have been saved\n\n\nThe proposed rotatingBarcode field is compatible with all these flows,\nhowever, in order to improve security, we suggest the following:\n\n- Call the `object:insert` API to insert the pass to the Google Wallet server and configure the Add to Google Wallet button to reference the specific object by ID in your JWT. This ensures that the resulting JWT does not include the secret key of the rotating barcode.\n- Use an OTP secret key that is scoped to a single pass\n- The key, unless it is updated, is expected to be valid for the lifespan of the pass. We do not expect this key to be updated on any frequency during the course of normal operation.\n\n\nThe following sequence diagram illustrates the flow between the various actors\nfor a typical integration:"]]
