站內付 2.0 vs 全方位金流 AIO：兩種綠界串接模式的差異與選擇

串接綠界金流的第一個決定不是選哪種付款方式，而是選哪種串接模式。綠界目前提供兩種主要方案：全方位金流（AIO，All-in-One）和站內付 2.0（In-Site Payment）。兩者都能完成收款，但在開發體驗、消費者體驗和安全架構上有本質差異。

全方位金流 AIO 是綠界最早推出、也是最多人使用的串接方式。它的運作方式是：你的網站在結帳時將訂單參數組成一個 HTML Form，POST 到綠界的 AioCheckOut 端點，消費者會被導轉到綠界的付款頁面完成刷卡或選擇其他付款方式，付款完成後綠界再透過 ReturnURL 通知你的伺服器。整個流程中，消費者的信用卡資訊完全在綠界的頁面上輸入，你的伺服器不會碰觸到任何卡號資料。

站內付 2.0 的設計初衷是讓消費者「不離開你的網站」就能完成付款。它透過 JavaScript SDK 在你的頁面中嵌入一個由綠界提供的 iframe 表單，消費者在這個嵌入式表單中輸入信用卡資訊。技術流程是：你的伺服器先呼叫綠界的 GetTokenbyTrade API 取得一組 Token，前端 SDK 用這個 Token 初始化付款表單，消費者填完卡號後，SDK 直接將資料傳到綠界伺服器進行授權，最後透過 Callback 將結果回傳給你。

從開發成本來看，AIO 明顯更簡單。你只需要組裝參數、計算 CheckMacValue、產生一個自動提交的表單，前端幾乎不需要額外的 JavaScript 開發。站內付 2.0 則需要處理 Token 取得、SDK 載入、jQuery 相依性、iframe 樣式調整，以及確保四個環境設定（廠商驗證碼、JS SDK 網址、初始化端點、交易端點）全部指向同一環境。這些額外的步驟帶來了更多出錯的可能性。

從消費者體驗來看，站內付 2.0 更勝一籌。消費者不需要被跳轉到一個陌生的頁面，付款流程感覺更流暢、更有信任感——尤其對品牌電商來說，保持一致的視覺體驗很重要。不過要注意的是，站內付 2.0 的 iframe 內部樣式受限於綠界的 CSS 參數，你只能在有限範圍內自訂外觀，無法完全控制輸入欄位的樣式。

從安全合規來看，兩種模式都不需要商家自行取得 PCI DSS 認證，因為信用卡資訊都是在綠界的環境中處理的——AIO 是在綠界的頁面上，站內付 2.0 是在綠界的 iframe 中。但站內付 2.0 因為嵌入在你的頁面裡，如果你的網站被植入惡意 JavaScript（例如 XSS 攻擊），理論上有可能影響到 iframe 的行為。因此使用站內付 2.0 時，你需要更嚴格地管理自己網站的前端安全。

從支援的付款方式來看，AIO 支援所有綠界提供的付款方式（信用卡、ATM、超商代碼、超商條碼、Apple Pay 等），而站內付 2.0 在閘道模式下僅支援信用卡、銀聯卡、Apple Pay、分期和定期定額，不支援 ATM 和超商繳費。

選型建議：如果你的專案是 MVP 階段、需要支援多元付款方式、或技術資源有限，選 AIO 是最務實的起點。如果你經營的是品牌電商、重視結帳頁面的一致性、且主要收款方式為信用卡，站內付 2.0 會帶來更好的轉換率。兩者也可以混合使用——信用卡走站內付 2.0，ATM 和超商走 AIO——但這會增加維護複雜度，需要權衡。