作为最基础的常备功能, 注册/登录往往是产品第一个版本中最容易被忽视的环节,越是看似容易,陷阱越多。介绍相关产品思路的文章很多,讲交互的多,结合运营的少。
一. 非常基础
1.1 因「私有化」而存在
不是所有的产品都需要注册/登录,除非[私有内容/私有操作]具有足够的吸引力。
注册:用户告诉系统Who is Tom,系统记录Tom和口令。
登录:用户告诉系统I am Tom,系统辨别Tom和口令。
1.2 Passport产品线及近亲
通常把注册、登录、找回密码、修改密码、账户关联这几件事归为Passport产品线。它的近亲是Profile产品线,包含用户资料、个人设置等。——重庆网站设计
1.3 登录是高频,其他是低频
注册、找回密码、修改密码都是低频操作,但都属于迫切程度比较高,也最容易引发挫败感,导致用户投诉及放弃使用产品。
1.4 术语:查重、校验、验证、匹配
查重,“查询是否有重复存在”的简称,比如:排除以手机为主键的重复注册。
校验,检查数据是否符合格式,比如:输入的时候为一个手机号码。
验证,确认真实性,比如手机和邮箱真的是用户本人使用,指纹、人脸识别。
匹配,用户提交的数据是否与存储中的数据一致。
1.5 术语:Spam与Anti-Spam
Spam指使用脚本、机器人进行恶意批量提交或遍历破解的行为。 Anti-Spam指防止Spam的系统措施。——重庆网页设计
1.6 术语:单点登录SSO
也就是所谓的通行证,注册/登录一次,可在所有的子产品(跨域)中通用一个Passport和相同的Profile信息。
二. 注册主键选择
主键是数据库设计中的一个概念,为了保证唯一性,新增用户时必须进行主键查重。
2.1 以用户名为主键注册
Anti-Spam:非常弱(批量Spam账户)。 扩展性:高,随时可切换为以其他数据为主键。 使用场景:私有内容/私有操作较少的情况,比如仅提供了回复、投票、点赞等轻操作, 产品雏形期,进行测试的新产品(开发比较容易)。
便利设计:注册和登录可合并在同一个界面(不考虑找回密码时),注册时可顺便把用户名当作昵称搜集。——重庆定制网站
注意事项:为了让用户找回密码,必须设置密保问题,找回密码代价很高(把自己用户名给忘记了)。
2.2 以邮件地址为主键注册
Anti-Spam:中等(自从QQ邮箱出来,被遍历攻击的事儿也是不少啊)。 扩展性:中,可以随时切换为手机主键。 使用场景: 邮箱容易记忆,适长期频繁使用的产品,适合在web端需要依赖Newsletter进行营销的产品,非实名用户系统,邮件主键的代价最小,转化率较好。
便利设计:To B产品使用企业邮箱注册,自动关联企业主账户。
注意事项:邮箱是隐私,掩码显示,如果包含社交功能,注册时可能需要采集昵称。进入各大邮件运营商的白名单,是一件头疼的事儿,搞不好就直接进垃圾邮件了。
2.3 以手机为主键注册
Anti-Spam:弱(各种遍历、各种骚扰,需要采取措施)。
扩展性:低,几乎不可逆(用户也不答应)。
使用场景:带有支付功能的电商、消费类产品。实名用户系统,需要用户的绝对信任,初期转化率低,最好从邮件主键过度。只有移动版本的产品。——定制网站
便利设计:根据手机号自动匹配地区城市、电信运营商(也有一部分用户是携号转网的#_#)。
注意事项:手机是绝对隐私,能不显示就不显示,显示必须掩码,如果包含社交功能,注册时可能需要采集昵称。国外手机号几乎不可以,短信通道需要至少双备,如果验证短信中包含一些根本想不到的敏感词,会很惨。用户更换手机,运营商回收旧号码卖给新用户,都会大量存在,请一定给出解决方案。
2.4 由第三方账户创建(并登录)
Anti-Spam:高(等于是把验证权交给别人了)。 扩展性:高,可以在第三方验证后再创建自有账户。
使用场景:几乎适合各种类型的用户自主注册账户。
便利设计:可以根据第三方授权拿来一大堆Profile里边的信息(除了密码)。
注意事项:把鸡蛋放在了别人的篮子里,一定要心甘情愿。登录之后再创建自有账户,会存在一定的转化率损失。去第三方申请授权,要有耐心,而且通常在产品初期拿不到太多的Profile数据。——网页设计
2.5 社会卡证类主键(身份证、信用卡)注册
Anti-Spam:高,因为规律性比较差,但也不排除社会工程hack手段。 扩展性:都到了这步了,算是个终极。。 使用场景:特殊场合和人群,需要展示特殊的功能;实名用户系统,需要用户的绝对信任;必须关联在线支付/移动支付才能使用的产品;通常都不会包含社交功能。
便利设计:直接关联到用户真实身份和征信。
注意事项:通常验证都是通过第三方信用组织进行,比如提交信用卡关联的身份信息,由支付机构或银行匹配之后发送一个验证短信/邮件/二维码。同样是把鸡蛋放在别人的篮子里(通常是亲爹的篮子)。
2.6 其他主键
用汽车牌照做主键,真的可以有,不是不可以,但是尽量还是别摸着石头过河。注册主键在真实社会里一定是具有非重复且个人专有的特点。——网站设计
2.7 多主键复合注册
当然可以啦,注册时没必要提示用户哪个是主键,反正登录的时候会提示。
2.8 切换主键时注意事项
其切换主键之前,一定要对数据进行筛查,情况可能是这样的,用户使用邮件主键生成了一个用户,当系统切换手机为主键时,用户会因迷惑而创建另外一个新账户,此时可能涉及到用户数据合并的问题。如果这些没有想清楚,就不要随便更换主键。
三. 个人注册(To C)
3.1 查重错误,不要在注册环节随便给出
填写一个手机号码,异步查询是否可以注册,虽给用户带来了方便,但也给骇客提供了可乘之机:写一个脚本就能遍历出来哪些号段多少个号码注册过产品! 请在验证码正确之后给出结果,或者单独跳转URL给出查重类错误。——小程序
3.2 前端校验和后端校验都要进行
跨域攻击是最简单的手段咯,注册这么大的事儿,一定要进行前后校验(登录之后,可以根据系统压力再进行简化,登录之前,还是谨慎为妙)。
3.3 以邮箱和手机注册主键,第一步只做一件事:验证主键
没有验证过的邮箱和手机会弄脏用户数据,脏库是无法切换登录主键的! 注册的第一步,只做一件事情就好了,不要让用户填写其他信息(填写密码也不行)。
3.4 分步注册,暂存数据,只有在用户提交密码那一刻,才创建正式数据
如果第一步是校验主键,那么应该暂存数据,只有在主键验证完毕,下一步用户填写密码并提交之后,再创建正式数据。(这个坑是这样的:用户第一步提交邮箱,但是验证邮件没收到,此时可能用户会再次启动注册,如果前面已录入正式数据,可能会显示这个“这个Email已经注册过了”)。
3.5 有必要重复确认密码么?
没必要!设置这个的初衷无非是避免用户注册时输错密码,输错=忘记密码,就去找回密码咯。——重庆网站设计
3.6 只采集必要数据,填写项目越少越好
在注册环节,标注必填是个爆弱的设计,如果是选填,就别让用户在注册环节提交。
3.7 包含社交的产品一定要让设置头像成为必填
注册之后,需要很大的运营代价才会让用户上传头像,因此这一步骤最好是前置。
3.8 昵称需要查重么?
需要!避免李逵和李鬼,尽量杜绝录入火星文和特殊字符(视情况额定)。
3.9 让用户发送密码短信到特定号码进行手机注册,这很low
谁会用?有多少用户愿意自己付出短信成本?除非特别紧急的情况下。
3.10 同意《用户使用协议》
让用户勾选阅读并遵守《用户使用协议》,不如把注册按钮改为“同意用户协议,提交注册”。——重庆小程序
3.11 邀请码注册要走单独流程
输入邀请码或点击邀请邮件中加密连接进行注册,可关联邀请者ID,需要的单独设计注册界面。
3.12 注册与登录合并设计(快速注册)
以用户名和手机为注册主键的时候,可以这样设计。但以邮箱注册的时候,用户需要跳出到邮件系统,快速注册就没意义了。快速注册以后自动进入登录状态。
3.13 注册结束后,必须让用户再登录一次(快速注册除外)
这不仅仅是个仪式感,而且是安全的需要,增加自动脚本Spam账户的难度。
3.14 注册应该避免设计成light box(快速注册除外)
注册复杂程度不一,并且会经常迭代改善产品,因此校验代码和各种逻辑判断非常多,如果做成light box效果,可能会拖累很多界面的加载速度,也会让维护和测试变得麻烦。——重庆定制网站
3.15 注册后的(首次登录后)欢迎与提醒,设立URL暂存池
注册完成有结果提示和简单的欢迎,然后就需要让用户进行跳转。 记录用户点击注册之前的界面URL,在用户跑完注册/登录流程之后,回到那个URL(“从哪里来,就回到哪”)。 如果无法判断用户注册登录前的URL,那么跳转到一个最核心的私有内容界面, 用户可以选择回到Profile管理。
四. 企业商家注册/入驻(To B)
4.1 商家注册(申请)建立在个人账户基础上
先完成个人账户注册,再创建商家。在注册商家的同时,创建一个个人账户。以上两种方法都可以。因为商家账户的管理者通常是员工,如果该员工离职,企业会要求进行管理权转移,把商家挂在个人账户下面,灵活度最高。
4.2 在注册之前分流角色,而不是注册过程中
企业商家用户通常按行业分类,比如卖方需要提供代理证明,而买方需要填写收货地址。此时最好设置为两个入口,而不要在注册的过程中进行条件分支。——重庆网站设计
4.3 审核期过度界面
通常企业商家注册都需要一个运营审核过程,此时,用户可登录个人账户使用一些基本功能,请把审核进度明示给用户,同时给予企业商户功能的演示介绍。
4.4 企业子账户应该是邀请的,而不是随便填写的
不要让企业商户管理员直接填写子账户的用户名和密码,建议企业子账户以email为主键,走邀请的流程,让其他员工自己验证邮件、填写验证手机和密码,这样做责权清晰,安全性最高。
4.5 企业管理员不能直接修改子账户密码
企业管理员触发一个验证邮件给子账户,子账户可以自行通过加密连接修改密码。必要时,管理员可以冻结那个强制要求修改密码的子账户的权限。
五. 登录
5.1 登录主键提示
在主键input当中,允许用户填写不同的主键,虽然校验比较麻烦,但是用户便利了。
5.2 注意登录错误信息抛出方法
单独抛出“该用户不存在”或者“密码不正确”可能会是不科学的,因为很可能方便了别有用心的人,比较安全做法是“用户名不存在或密码不匹配本文由重庆网站建设公司润雪科技原创,文章地址:/news/id/1646.html
