需先明确一点,并非所有商品均需用户注册并登录。涉及用户较为私密信息的软件,如微信、淘宝、建设银行APP以及邮箱等,则必须进行注册登录。而那些不会产生用户个人数据的软件,例如墨迹天气、日历等,则无需注册登录。
对于那些要求用户进行注册和登录的应用程序,从数据解析的视角来看,用户完成注册步骤后,系统会自动创建一个账户,该账户在后台数据库中拥有一个独一无二的标识符与之相对应,我们通常将这类新注册的用户称作新增用户。
为了明确区分新增的用户与新增的设备,我们首先要明确两者的定义:新增用户是指【用户ID+1】,而新增设备则是指【设备ID+1】。举个例子,若我在手机上的某个APP注册了一个账户,并使用该账户在另一部手机以及两台不同的电脑上登录,那么我的这一系列注册和登录行为,将导致该产品的新增用户数增加1,新增设备数增加4(前提条件是这些设备之前未曾登录过该产品)。
目前常见的注册(同登录)方式主要是两大类:
系统内部构建的用户群体,其身份识别主要通过手机号码、用户名、电子邮箱以及身份证号码等个人信息来实现。
②第三方账号授权登录(微信、QQ、支付宝、微博、淘宝等)。
各个业务板块的注册步骤与所需信息各有差异,然而我们应尽量以简洁快捷的方式指导用户完成注册,确保获取到用户最核心的资料。众多产品允许用户自主创建账户或通过第三方平台直接登录,这种按需选择的注册方式用户体验极佳。然而,极少数产品在用户选择第三方登录后,仍要求用户绑定手机号码,否则将无法顺利完成注册流程。
考虑到用户的需求,若用户选择第三方登录方式,他们通常不希望经历注册登录的复杂步骤,因为增加注册环节可能会让很多用户感到不便,从而难以进入系统。尽管如此,如果产品经理担心第三方账号可能存在的问题,并希望构建自己产品的账号体系,这同样是完全合理的。用户在首次登录系统后,需补充一些额外信息以启用产品特定功能,亦或通过积分激励等措施,促使用户更全面地完善个人资料。
1. 常见的系统自建用户—手机号注册
系统自建用户普遍采用手机号进行注册,这一过程主要涉及以下几项关键信息:手机号码、短信验证码以及密码。
在验证手机号时,我们必须确认其是否为空,同时检查它是否满足11位数字的规范格式,并通过接口进一步核实该手机号是否已经被注册使用。
短信验证码验证:我们需通过接口确认码文的准确性及有效性,同时为防止恶意刷取,我们需设定每日及特定时段内获取验证码的次数上限,以及输入错误次数的限制。
密码验证环节至关重要,我们需核实输入的密码是否符合既定格式,同时确认两次输入的密码信息是否完全相同。众多重视系统安全性的产品在用户注册阶段,通常会引入人机交互验证机制,具体操作步骤可参考下方的图示:
在注册或登录过程中,用户无需手动输入手机号码,即可通过【本机号码一键登录】功能直接完成注册和登录操作。
2. 常见的第三方账号授权——微信授权
微信授权是第三方账号授权中较为普遍的方式,用户只需在登录页面点击“微信授权登录”,随后打开微信应用,触发微信个人信息页面的显示,一旦用户点击“同意”,即可同步获取包括头像、昵称、地区和性别在内的用户信息,从而跳过注册环节,实现直接登录。
然而,不论是通过微信授权登录应用程序、小程式,抑或是手机网页版,均无法直接获取用户的手机号码。仅在小程序中,用户可以单独授权以获取手机号;而对于应用程序和手机网站,则必须分别通过获取验证码来进行手机号的绑定。
若移动应用或网站应用的开发者希望为用户实现微信授权登录功能,则必须在该微信开放平台上注册并添加相应应用。在此过程中,为便于识别,每位用户在每款应用上都会获得一个独一无二的、安全性高的标识。
若要在不同应用间实现用户信息共享,必须登录微信开放平台,将相关应用关联至一个特定的开放平台账户。即便用户在多个应用中拥有多个独立账户,但对于同一开放平台账户下的所有公众号和应用,用户仅拥有一个统一账户。
二、登录
对于必须进行身份验证的软件,必须确定具体的登录时机。一种情况是在软件启动时检查用户是否已经登录,若用户尚未登录,则引导其完成登录。这类软件的用户数据在产品的主要功能中无处不在,因此必须将登录步骤提前至启动阶段,比如微信、QQ和脉脉等。
当需要获取用户资料时,先判断用户是否已登录,若未登录,则引导其完成登录流程。这类产品仅在特定环节需用户提供信息,因此完全可以将登录步骤放在后面,比如知乎、今日头条和淘宝等平台。
从沉没成本的角度分析,若在用户信息绑定至关键环节时引导其登录,可以有效地降低新用户的流失率。比如,在电商产品中,若在用户浏览商品时直接要求登录,他们可能会因繁琐而放弃购买;然而,若在用户精心挑选并决定购买满意商品时才要求登录支付,那么用户更有可能顺利完成注册和登录流程。游客能够阅读知乎上的信息,然而在尝试发表评论时,系统会跳出一个窗口,提示用户完成注册或登录。
在用户未进行登录操作的情况下,他们将以访客的身份来使用该产品。用户在初期以访客身份活动时,系统会收集相关数据。若访客之后在同一设备上创建了新的账户,系统将询问用户是否希望将访客期间产生的数据同步至新账户。若用户决定同步,访客数据将被清除,并转移至新账户中;若用户选择不同步,访客数据将保持原样,且不会迁移至新账户。
普遍采用的登录途径包括通过密码【结合手机号】进行的登录、利用短信验证码【结合手机号】的登录方式,以及借助第三方平台进行的授权登录。值得注意的是,关于第三方授权登录的内容,在注册阶段已有详细说明,此处便不再重复阐述。
1. 密码登录
我们需要对手机号进行前端检查,确保其不为空,并且是11位数的正确格式,同时通过接口进行核实,确认该手机号是否真实存在。
为确保密码准确无误,我们需进行验证。同时,为防止恶意尝试,我们将对特定时段内连续输入错误密码的次数进行限制。具体操作步骤可参考下方的图示。
2. 短信验证码登录
我们必须对手机号码进行前端检查,确保其不为空,并且必须符合11位数的手机号码规范。
短信验证码验证:我们需通过接口确认码的准确性及是否已过期,同时,为防止恶意刷取,我们需设定每日及特定时段内获取验证码的频率上限,以及输入错误次数的限制。
首次登录的新用户在完成登录步骤后,应着手更新并完善个人密码。具体操作步骤可参考下方的图示说明。
3. 单点登录
各个独立系统均配备了各自的安全防护机制和用户身份验证机制。然而,随着业务应用系统的不断增多,单个用户在多个业务应用系统中往往拥有多个账户,且在各个系统之间频繁切换时,不得不频繁进行登录和注销操作,这一过程显得尤为繁琐。
众多业务线纷纷推出单点登录系统,即SSO,该系统将各个应用系统整合至一个统一的登录页面。用户仅需登录一次,便能在不同应用系统间自由切换,无需重复登录或注销,从而提升了用户的使用体验。这不仅极大提升了用户体验,更显著地减少了安全风险和管理成本。
三、找回密码
每个账户的密码在数据库里都经过了加密处理,按照理论,这些密码是无法被解密的;因此,一旦用户忘记了自己的密码,他们就无法恢复原有的密码,只能选择重新设定一个新密码。这个过程主要关联到以下信息字段:手机号码、短信验证码以及密码。
①手机号:我们需要前端验证手机号是否为空,是否符合11位的手机号格式,接口去验证该手机号是否已注册;
②短信验证码:我们需要接口去验证验证码是否正确,是否失效,为了防刷我们还要限制每天和指定的时间段可以获取验证码的次数、输入错误的次数;
为确保密码满足既定格式,并确认两次输入的密码信息相符,我们进行密码验证。众多重视系统安全的产品在密码恢复环节引入了人机交互验证机制,具体操作步骤可参考下方的图示:
我们观察到,在注册账号与重置密码的操作过程中,流程上几乎完全一致,然而,其中存在两个显著的差异:
在注册过程中需确保该账户先前未曾注册,而在找回密码时则需确认原有账户确实存在。
注册成功后,用户将直接进入登录界面;若需找回密码,则需导航至登录页面进行密码重置操作。