引言
帐号对于每一个互联网网民都是不陌生,只要我们还在上因特网,就几乎离不开帐号。有关帐号系统与登录方式的设计,成功与否,直接关系到用户利益的保护以及对服务的体验。如果是一个注册流程各种不顺畅,登录状态不稳定的服务,用户迟早是要用脚投票的。 也不知道什么缘由,自打入行以来,就参与好些项目的帐号系统建设,从最基础的用户名密码到标准OAuth再到关联登录,中间自然也是踩着各种坑走过来的,所以也算有感而发,整理之,记之。
用户名密码出现
我们能了解到最初的帐号与登录可能就是在哑终端通过命令行输入用户名密码登录大中小型计算机,登录后可通过命令行操作远端计算机的运行,用户名密码的概念也由此而来。随着互联网兴起,C/S和B/S成为了互联网主要工作模式,帐号用于个人数据以及隐私保护,每个用户都需要通过帐号来管理跟个人密切联系的信息,比如电子邮件、聊天记录、购物订单、支付流水等等。
电子邮箱的流行
电子邮箱是早期的互联网发展起来的最为重要的帐号,早在互联网启蒙阶段,电子邮箱就诞生了,并逐步发展成为覆盖多数网民的重要帐号系统。因此,通过电子邮箱激活帐号成为了后续互联网新生服务注册帐号时,用于筛选无效注册行为的首选方案。用户注册新的帐号时需要通过自己的电子邮箱收到的激活邮件来确认是本人注册而非机器人(电脑程序)注册,也没有重复注册的行为。帐号激活完成后,用户就可以使用注册时的用户名密码登录。通过电子邮箱激活帐号的方式如此地流行,以至于很多网站都直接将电子邮箱地址作为用户名使用,春哥本人就有无数个以电子邮箱地址为用户名的帐号,也因此导致了用户的邮箱地址密码容易遭泄露的风险问题。更重要的是,对于用户而言,每个服务近乎相同的注册资料填写流程、电子邮箱激活帐号操作、记忆用户名密码、找回用户名密码等“理所当然”的步骤,在遇到新的互联网颠覆式创新时,就开始让人觉得冗余和低效。
开放平台到来
用户早已习惯电子邮箱激活帐号这一网络“惯例”,一直到Google、Twitter、Facebook等尝试推广开放平台,帐号系统的开放就包括在其中,帐号与登录变得“从未有过的简单”。根据平台方的设计(最广为人知的第三方授权协议莫过于是由谷歌参与设计的OAuth/OAuth2),第三方应用完全可以依靠平台方,快速拥有一套可行的帐号系统,开发门槛大幅降低。从用户看来,不会再有一堆注册资料需要填写,不会再有电子邮箱激活的操作,甚至特定的用户名密码都是多余。平台方的品牌背书也大大加强用户的安全感和接受程度,开放平台的解决方案看起来一切都很完美。跟所有的创新和尝试一样,实际情况总比设想的要复杂。首先,作为第三方应用,总是希望能够与更多的平台方合作,有一个常识是这样,不同的平台方的用户标识未能统一,如果需要对接多个平台方,第三方应用必须自己拥有统一的用户标识;再者,从策略和博弈的观点看,合作永远都是暂时的,第三方应用必须两手准备,当合作突然中止时能够快速实现切换甚至是平滑过渡;最后,作为有技术追求的团队,把自家服务的水准建立在别家的系统能力之上显然是不可接受的。因此,完全依靠平台方是不靠谱的,但拒绝合作又不见得明智。。。经过一段时期的探索,第三方应用与平台方的开放性合作都有了各自的实践经验,落地的具体方式有这么几类:
- 第一类,优化注册流程,通过平台方的授权自动导入用户资料,降低用户的注册门槛,节约注册的时间,同时免去了类似电子邮箱的激活帐号的逻辑,完成注册后,平台方的帐号将不再被需要,避免了对平台方的依赖;
- 第二类,强关联登录,用户每次登录都需要先通过平台方的登录鉴权再回到第三方应用自有的登录流程,特别需要注意的是,这种方式需要用户在平台方的帐号与第三方应用的帐号一一对应,当用户使用的新的平台方帐号,自有的帐号也得重新分配,强关联登录的好处在于保持逻辑简单的同时,对平台方的依赖降到了最低;
- 第三类,弱关联登录,类似强关联登录用户可以通过平台方的授权来登录第三方应用的帐号,但是第三方应用的帐号与平台方的帐号是绑定与被绑定的关系,绑定后可以解除绑定,也可以重新绑定,解除绑定后关联登录逻辑立即失效,这种方式需要注意,用户的所有个人数据必须一开始就完全落地在自有的帐号系统当中,包括用户昵称头像历史记录会员权益等等,否则一当有部分数据依赖平台方的帐号系统,解除绑定时就容易发生“用户数据丢失”的问题,即使是在解除绑定的操作中做相关的导入导出的逻辑也是蹩脚的,一当用户重新绑定就会暴露多id下数据重复的问题。弱关联登录的好处在于允许重建关联关系,方便用户处理两边帐号遗失、转赠、废弃的情况,同时也支持用户方式登录同一个帐号,比如对于国内的应用,用户可以用新浪微博登录的同时,还可以继续用QQ、微信登录相同的帐号;
因智能手机而创新
移动化浪潮的掀起,智能手机的迅速普及,帐号与登录那点事儿也因智能手机而不断创新,这些创新点可以说每一个智能手机用户都或多或少体验过:
- 1、比如二维码(一些公司也会采用应用内消息,思路上是一致的),通过扫一扫,原有的PC端、Web端用户名密码的登录方式转移到为手机上App内用户的点击确认,既简化了登录过程也提高安全性(手势锁、指纹锁、声音锁进一步保障了手机的安全);
- 2、手机号码,人手一号,同时高度可信可筛选,完全可以成为电子邮箱地址的替代选择;
- 3、发送动态码短信到手机的方式,则可以用于注册流程中验证有效性,还可以用于登录或者支付过程二次密码确认;
- 4、拍照、视频、卡片识别等能力也为有特殊审核需求的服务如银行、证券、政务开户提供了远程注册的可能性。
谈谈新的挑战
总的来说,基于电子邮箱地址的帐号已经成为了过去,至少不再是主要的方式,重复烦人的注册过程也成为了可选项而非必选,用户名密码甚至不再在被需要,在第三方应用、PC端、Web端,用户名密码的存在感都在被弱化。随之而来的新的挑战是:
- 1、帐号系统的设计是否有足够的灵活性,既支持传统用户名密码方式,也能对接开放平台的授权方式,甚至用户一上手就能自然而然拥有自己的帐号;
- 2、PC端、Web端、手机端是否具备有联动协作的能力,手机端是否能将自己成为PC端、Web端的延伸,不仅仅的登录时的确认按钮,还有指纹、拍照、手势等能力;
- 3、如果有一天自身的帐号系统因为战略需要将成为开放平台一部分开放出去,设计上是否已经有所考虑;
- 4、作为海量用户的服务系统,安全问题再怎么强调都不为过,状况出现之前如何利用新的技术好的创意多个维度去避免,出现状况以后如何以更高效更人性化的方式解决;
来源: SPRINGOX
原创文章,作者:Catherine,如若转载,请注明出处:https://www.iamue.com/30870/
