APP注册登录总结（二）

上一篇文章总结了注册登录的价值以及三种注册登录流程
本篇将介绍现有的注册登录方式，手机、邮箱、帐号、三方授权的优缺点以及注册登录流程

注册登录方式的选择

用户注册登录方式分为两大类：

自建用户用系统：手机号、邮箱、用户名
第三方授权用户系统：微信、QQ、微博等

自建用户系统是自己控制和维护一套登录信息，有利于创建自己的用户体系。第三方授权用户系统，依托于三方帐号登录，是一种绑定行为，用户注册登录流程简单，但缺乏控制性，也不利于自身用户体系的建立。

注册登录方式属性

一般来说，各类型注册登录方式具备以下三个属性：

普遍性：适用的用户群体范围大小，用户使用该方式注册的门槛高低度

便捷性：该方式注册登录流程的繁琐性，用户对该注册方式的理解程度，对登录凭证的记忆难度

安全性：该方式帐号泄漏风险性，被盗号的风险度

几种注册登陆方式

序号	注册登录方式	普遍性	便捷性	安全性
1	手机号	需要有手机号	流程简单容易理解换号需要重新绑定手机容易记忆	短信找回密码运营商重复使用手机号，有泄漏帐号的风险
2	邮箱	需要有邮箱	流程繁琐，需要验证邮箱不容易理解，部分用户没有使用邮箱的习惯容易记忆	邮箱找回密码邮箱数据泄漏，有帐号被盗风险
3	用户名	需要用户按照既定规则创建	流程繁琐，需要创建帐号容易理解不容易记忆	不绑定手机号或邮箱，无法找回密码自己的用户数据库，能够有效控制避免帐号泄漏风险
4	第三方帐号	需要有三方注册帐号设备需要安装三方软件	流程简单容易理解容易记忆	有三方平台注销帐号或停止运营风险依赖三方帐号安全验证机制控制帐号安全风险三方平台用户数据泄漏，授权登录接口漏洞，有帐号被盗风险

注册登录方式介绍

手机号注册

注册时使用手机号作为用户名，需要用户短信验证，防止错误输入和恶意注册。

手机号注册的优势

对于移动端产品，验证方便，注册的时候通过短信验证确认用户，是一个连贯的流程

方便记忆，短信找回密码也很方便

实名认证的手机号是用户最稳定的ID，通过手机号可以展开很多运营计划

手机注册的问题点

更换手机需要重新绑定手机，流程繁琐

运营商有复用手机号的可能，有帐号泄漏的风险

手机号私密姓高，用户选择手机号注册比较谨慎

手机号注册登录主线流程

名词解释

unionID：用户手机注册时，由用户系统根据手机号创建，在用户系统中作为用户身份唯一标识；唯一性

APPuserID：用户注册时，有APP服务端根据unionID或三方授权的openID创建，在APP内作为用户的唯一标识；多对一，多个APPuserID可对应同一个unionID

基于用户系统多平台打通下的流程

邮箱注册

邮箱注册作为较为常用的注册方式，盛行于Web端，使用邮箱作为用户名，一般来说需要验证邮箱（也有不需要验证邮箱的注册流程）。邮箱注册相较于手机注册，存在体验与安全性的矛盾。邮箱注册流程不是连贯的，需要跳出应用验证，体验较差，退出率也比较高。

为什么在移动端还保留邮箱注册的方式

应用的目标市场在海外，国外用户有使用邮箱的习惯

商务类、面向企业的应用，目标用户为商务人士或企业，有使用邮箱的习惯，且较为正式

学习类应用，考虑目标用户换手机号的可能性较大

邮箱地址是公开的，私密性较手机号低，用户不愿意使用手机号注册

邮箱注册的优势

地址永久留存，没有换号的问题存在

唯一ID，容易记忆

相较手机号，私密性更低，风向敏感性低

富媒体推送，获取用户邮箱后可以推送丰富的内容

邮箱注册的问题点

国内用户没有使用邮箱的习惯

移动端邮箱注册时，如果要验证邮箱，需要跳出APP，会中断注册流程

邮箱注册有以下5中设计流程

1.不验证邮箱地址

只验证邮箱、密码格式，以及邮箱是否被注册。注册效率最高，但没有验证邮箱无法保证帐号的安全性。注册时，邮箱输入错误则无法找回密码，同时该流程容易产生无效帐号或被恶意注册邮箱，浪费服务器资源。

2.注册成功后，点击链接验证邮箱地址

3.注册成功后，输入验证码验证邮箱

流程2和流程3，都是快速注册成功后，向用户发送验证信息，通过邮箱验证其有效性。既能保证注册信息的而有效性和安全性，也不会降低太多用户体验。其中流程3的验证是在应用内进行的，不会脱离应用去验证，能够避免用户注册后忘记验证。

4.访问验证链接后注册成功

5.输入验证码后注册成功

以上两种注册流程，需要强制验证，都会打断注册连贯性，用户在注册过程中退出率比较高。如果邮箱信息对业务逻辑及其重要，也可以考虑。

用户名注册

用户名加密码的注册方式非常少见，最多出现在一些内部系统中。使用注册流程，用户一旦忘记密码就无法找回帐号。所以一般都配套邮箱或手机号一起使用，登录时可以使用用户名加密码，找回密码时可以使用邮箱或手机。

三方帐号授权登录

三方授权登录实际是一种绑定行为，依赖第三方帐号验证登录，还能通过三方平台开放的API，获得帐号的部分权限。

三方帐号授权登录的优势

注册流程简单，节约用户注册时间

快捷登录

帐号都是经过各三方平台验证过手机或邮箱的，安全可靠

能够获取用户基础资料、好友关系等

三方帐号授权登录的问题点

独立使用三方帐号，无法获取有价值的信息，也无法构建自己的用户体系

如何利用好三方登录，又能构建自己的用户体系

三方注册登录的优势比较明显，不过单独使用三方帐号也会导致产品无法构建出自己的用户体系。一般的解决办法是使用三方帐号注册时，用户确认授权后验跳转手机或邮箱绑定界面（绑定帐号）。但是该流程体验较差，本身使用三方登录的用户就希望快速跳过注册流程登录流程。

正确的做法应该是

在绑定界面加上skip功能，用户可自行选择是否绑定

在使用产品部分功能时，弹出绑定界面

三方帐号授权注册登录主流程

由于QQ注册登录SDK移动端接入的是QQ开放平台，web网站接入的是QQ互联，如果使用openID来验证身份会导致QQ授权注册用户不能跨端登录。可以通过unionID来验证身份，同一个帐号下的应用unionID是相同的。（邮件向开放平台员工申请unionID接口）

OAuth2.0授权机制

不同平台提供的文档差别较大，各种类型的第三方文档，同时各平台提供的SDK用法也各不相同。但是实际上，大多数网站提供的第三方登录都遵循OAuth协议，虽然各家的细节处理都不一致，但大体流程是一定的。

基本流程

图中涉及到的对象分别是

Clint第三方应用（自己的应用）

Resource Owner资源所有者，即用户

Authorization Server授权服务器，即提供第三方登录服务的服务区

Resource Server拥有资源服务的服务器，通常和授权服务器属于统一应用

根据以上信息，我们知道OAuth2.0的基本流程

第三方应用请求用户授权

用户同意授权，并返回一个凭证code

第三方应用通过上一步的凭证code想授权服务器请求授权

授权服务器验证凭证code通过后，同意授权，并返回一个资源访问的凭证Access Token

第三方应用上一步的凭证Access Token向资源服务器请求相关资源

资源服务器验证凭证Access Token通过后，将第三方引用请求的资源返回