там же редиректы вообщет должны быть, на этих сервисах

ну, смотри.

я отправляю данные карты,  получаю редирект урл, юзер переходит по нему, подтверждает 3ds

Сервер получает данные о подтверждении,  что  дальше?)

выкидывает клиента обратно, редиректом

я видел отдельные окошки иногда, но это похоже на событиях, редкость

у меня spa

Нужно сохранять данные где-то,  перед редиректом

(

не, vue + ssr

не рановато ли

уже год как пишу на нем

в БД создается запись о попытке оплаты, еще юзеру высылается письмо со ссылкой на "страницу" оплаты, например "ты тип забыл оплатить чувак". так и сохраняется state

А любом случае бек. Пользователь в том окошке на 3дсекур мог нажать отмену или ещё что угодно, мог ввести код и закрыть окно, пропал интернет, куча всего. Потом оно редиректит на твой бек и это один из способов узнать что он реально ввел и все хорошо и ты редиректишь на страницу своего спа и тут варианта два.

Или то что надо показать пользователю уже есть а ССР, или в ссылке ест какой-то хеш который ты отправляешь на свой бек и что-то там рендеришь, ну вообщем это уже уровень твоего приложения, делай как хочешь

Можно это сделать во всплывашке, но в мире мобильных устройств наверно не стоит, тут хз

А что мешает в localStorage сохранить состояние?

В какой момент?

Спа-бек-сторонний сайт-бек-твой спа с надписью оплата прошла

А если это всплывающее окно то надо учитывать ещё ситуации где пользователь его просто закрыл. Понял что телефон куда придет СМС забыл дома и решил заплатить потом.

Точнее это надо учитывать всегда, просто "как" зависит от реализации

Что с твоим никнеймом происходит?

Думаю без redirect в 3dsecure никак, это самый безопасный вариант