手机动态码登录

产生背景

和移动互联网的兴起有直接关系，国内的众多网民直接从移动设备触网，手机自动的手机号码天然具备校验身份的优势

因为办理手机号时需要提供身份证，所以手机号满足了国家关于实名制的要求。这促进了手机动态码登录的推广

优缺点

优点

1. 手机号码作为登录帐号，容易被用户记忆；动态码不需要用户记忆密码，更加便捷

2. 动态码具有实时性，相对于帐号密码会被黑客盗取，验证码更加安全

3. 从企业的角度，获取用户手机号意味着增加了跟用户联系，可通过手机号进行召回，营销

缺点

1. 当前有大量手机号被黑产所有，增加了平台活动防刷的难度。注：170，171号为虚拟号段，未实名制，被黑产大量持有。据说，花100多块钱可以搞到几千个手机号

2. 二次号问题：用户更换手机，当前手机被新用户持有了。大多数产品用户的访问频次很低。用户更换手机没有及时更新平台手机，单方面依赖手机作为登录帐号会造成新持有手机的用户无法注册，或者老帐号被新用户获取。平台变大后，客诉会变得很麻烦

3. 当然，下发短信是需要费用的，当前主流的短信渠道一条短信的费用在0.035 - 0.06元之间不等。

动态码登录流程

流程说明

1. 手机动态码不区分登录注册，无论用户是否注册，都应当能够完成校验

2. 一般验证码都会进行频次限制，常见的限制逻辑包括：1分钟限制1次；1小时（天）获取N次；一个IP1分钟获取次数限制；一台设备1分钟（小时）获取次数限制

3. 不同的短信渠道下发成功率会有不同，所以在选择短信渠道时应该根据自身情况进行选择，当前相对可靠的短信渠道详见知乎 短信渠道

4. 短信下发会有一定的失败率，所以在设计时可以采用短信和语音并行的方案

5. 跟短信渠道的交互一般是我们服务端生成4或6位数字验证码（也见过比较另类的采用字母验证码的，没看出有什么必要），然后由渠道下发，用户填写后在我们的服务端完成校验

6. 单个验证码会有校验次数的限制，一般是单次下发的验证码可被校验5次，如果5次均校验失败，则验证码失效。提示上应该把“验证码有误” 和 “验证码已失效”分开提示

7. 验证证校验通过后是否还有效，这需要根据具体的场景确定，在登录时，一般校验通过后，验证码会失效。

其他说明

在登录环节，用户每一步的点击都会造成流失，所以尽量在安全的情况下减少用户操作是设计的重点。当前移动提供了本机号码一键登录服务，移动可自动获取用户的手机号码，不需要用户获取填写验证码，自动完成校验，感觉是一个很好的动态码解决方案，详细可见：中国移动开发者平台。好像三大运营商都提供了类似的服务，可以自行查询。