上一篇文章总结了注册登录的价值以及三种注册登录流程
本篇将介绍现有的注册登录方式,手机、邮箱、帐号、三方授权的优缺点以及注册登录流程
注册登录方式的选择
用户注册登录方式分为两大类:
- 自建用户用系统:手机号、邮箱、用户名
- 第三方授权用户系统:微信、QQ、微博等
自建用户系统是自己控制和维护一套登录信息,有利于创建自己的用户体系。第三方授权用户系统,依托于三方帐号登录,是一种绑定行为,用户注册登录流程简单,但缺乏控制性,也不利于自身用户体系的建立。
注册登录方式属性
一般来说,各类型注册登录方式具备以下三个属性:
- 普遍性:适用的用户群体范围大小,用户使用该方式注册的门槛高低度
- 便捷性:该方式注册登录流程的繁琐性,用户对该注册方式的理解程度,对登录凭证的记忆难度
- 安全性:该方式帐号泄漏风险性,被盗号的风险度
几种注册登陆方式
| 序号 | 注册登录方式 | 普遍性 | 便捷性 | 安全性 |
|---|---|---|---|---|
| 1 | 手机号 | 需要有手机号 | 流程简单 容易理解 换号需要重新绑定手机 容易记忆 |
短信找回密码 运营商重复使用手机号,有泄漏帐号的风险 |
| 2 | 邮箱 | 需要有邮箱 | 流程繁琐,需要验证邮箱 不容易理解,部分用户没有使用邮箱的习惯 容易记忆 |
邮箱找回密码 邮箱数据泄漏,有帐号被盗风险 |
| 3 | 用户名 | 需要用户按照既定规则创建 | 流程繁琐,需要创建帐号 容易理解 不容易记忆 |
不绑定手机号或邮箱,无法找回密码 自己的用户数据库,能够有效控制避免帐号泄漏风险 |
| 4 | 第三方帐号 | 需要有三方注册帐号 设备需要安装三方软件 |
流程简单 容易理解 容易记忆 |
有三方平台注销帐号或停止运营风险 依赖三方帐号安全验证机制控制帐号安全风险 三方平台用户数据泄漏,授权登录接口漏洞,有帐号被盗风险 |
注册登录方式介绍
手机号注册
注册时使用手机号作为用户名,需要用户短信验证,防止错误输入和恶意注册。
手机号注册的优势
- 对于移动端产品,验证方便,注册的时候通过短信验证确认用户,是一个连贯的流程
- 方便记忆,短信找回密码也很方便
- 实名认证的手机号是用户最稳定的ID,通过手机号可以展开很多运营计划
手机注册的问题点
- 更换手机需要重新绑定手机,流程繁琐
- 运营商有复用手机号的可能,有帐号泄漏的风险
- 手机号私密姓高,用户选择手机号注册比较谨慎
手机号注册登录主线流程
名词解释
- unionID:用户手机注册时,由用户系统根据手机号创建,在用户系统中作为用户身份唯一标识;唯一性
- APPuserID:用户注册时,有APP服务端根据unionID或三方授权的openID创建,在APP内作为用户的唯一标识;多对一,多个APPuserID可对应同一个unionID
基于用户系统多平台打通下的流程
邮箱注册
邮箱注册作为较为常用的注册方式,盛行于Web端,使用邮箱作为用户名,一般来说需要验证邮箱(也有不需要验证邮箱的注册流程)。邮箱注册相较于手机注册,存在体验与安全性的矛盾。邮箱注册流程不是连贯的,需要跳出应用验证,体验较差,退出率也比较高。
为什么在移动端还保留邮箱注册的方式
- 应用的目标市场在海外,国外用户有使用邮箱的习惯
- 商务类、面向企业的应用,目标用户为商务人士或企业,有使用邮箱的习惯,且较为正式
- 学习类应用,考虑目标用户换手机号的可能性较大
- 邮箱地址是公开的,私密性较手机号低,用户不愿意使用手机号注册
邮箱注册的优势
- 地址永久留存,没有换号的问题存在
- 唯一ID,容易记忆
- 相较手机号,私密性更低,风向敏感性低
- 富媒体推送,获取用户邮箱后可以推送丰富的内容
邮箱注册的问题点
- 国内用户没有使用邮箱的习惯
- 移动端邮箱注册时,如果要验证邮箱,需要跳出APP,会中断注册流程
邮箱注册有以下5中设计流程
1.不验证邮箱地址
只验证邮箱、密码格式,以及邮箱是否被注册。注册效率最高,但没有验证邮箱无法保证帐号的安全性。注册时,邮箱输入错误则无法找回密码,同时该流程容易产生无效帐号或被恶意注册邮箱,浪费服务器资源。
2.注册成功后,点击链接验证邮箱地址
3.注册成功后,输入验证码验证邮箱
流程2和流程3,都是快速注册成功后,向用户发送验证信息,通过邮箱验证其有效性。既能保证注册信息的而有效性和安全性,也不会降低太多用户体验。其中流程3的验证是在应用内进行的,不会脱离应用去验证,能够避免用户注册后忘记验证。
4.访问验证链接后注册成功
5.输入验证码后注册成功
以上两种注册流程,需要强制验证,都会打断注册连贯性,用户在注册过程中退出率比较高。如果邮箱信息对业务逻辑及其重要,也可以考虑。
用户名注册
用户名加密码的注册方式非常少见,最多出现在一些内部系统中。使用注册流程,用户一旦忘记密码就无法找回帐号。所以一般都配套邮箱或手机号一起使用,登录时可以使用用户名加密码,找回密码时可以使用邮箱或手机。
三方帐号授权登录
三方授权登录实际是一种绑定行为,依赖第三方帐号验证登录,还能通过三方平台开放的API,获得帐号的部分权限。
三方帐号授权登录的优势
- 注册流程简单,节约用户注册时间
- 快捷登录
- 帐号都是经过各三方平台验证过手机或邮箱的,安全可靠
- 能够获取用户基础资料、好友关系等
三方帐号授权登录的问题点
- 独立使用三方帐号,无法获取有价值的信息,也无法构建自己的用户体系
如何利用好三方登录,又能构建自己的用户体系
三方注册登录的优势比较明显,不过单独使用三方帐号也会导致产品无法构建出自己的用户体系。一般的解决办法是使用三方帐号注册时,用户确认授权后验跳转手机或邮箱绑定界面(绑定帐号)。但是该流程体验较差,本身使用三方登录的用户就希望快速跳过注册流程登录流程。
正确的做法应该是
- 在绑定界面加上skip功能,用户可自行选择是否绑定
- 在使用产品部分功能时,弹出绑定界面
三方帐号授权注册登录主流程
由于QQ注册登录SDK移动端接入的是QQ开放平台,web网站接入的是QQ互联,如果使用openID来验证身份会导致QQ授权注册用户不能跨端登录。可以通过unionID来验证身份,同一个帐号下的应用unionID是相同的。(邮件向开放平台员工申请unionID接口)
OAuth2.0授权机制
不同平台提供的文档差别较大,各种类型的第三方文档,同时各平台提供的SDK用法也各不相同。但是实际上,大多数网站提供的第三方登录都遵循OAuth协议,虽然各家的细节处理都不一致,但大体流程是一定的。
基本流程
图中涉及到的对象分别是
- Clint第三方应用(自己的应用)
- Resource Owner资源所有者,即用户
- Authorization Server授权服务器,即提供第三方登录服务的服务区
- Resource Server拥有资源服务的服务器,通常和授权服务器属于统一应用
根据以上信息,我们知道OAuth2.0的基本流程
- 第三方应用请求用户授权
- 用户同意授权,并返回一个凭证code
- 第三方应用通过上一步的凭证code想授权服务器请求授权
- 授权服务器验证凭证code通过后,同意授权,并返回一个资源访问的凭证Access Token
- 第三方应用上一步的凭证Access Token向资源服务器请求相关资源
- 资源服务器验证凭证Access Token通过后,将第三方引用请求的资源返回
