设计观察15-深究注册与登录

当产品存在私有的价值后，注册/登录便有了重要的意义。

1注册主键选择

主键的简称为主关键字，是数据库中的一个名词，指的是表中的一个或多个字段，它的值用于唯一标识表中的某一条记录。新用户注册时填写的手机号就是主键，主键不可为空且唯一标识，当然，可以选择多个主键共存。

1.1用户名作为主键

产品的私有价值不高，一般在产品的雏形期，功能少。缺点是预防批量恶意注册的能力较低，而且用户容易忘记用户名，找回密码的成本较高，可通过设置密保问题的方式提高找回密码的成功率。

1.2邮件地址为主键

适合PC端注册，尤其适合通过邮件营销的PC网站，例如亚马逊的精准邮件营销。优点是结合验证码后可有效防止恶意批量提交或遍历破解的行为。

需要注意：为保障隐私，在个人中心中邮箱非明文显示（掩码）；有营销需求时需要考虑进入各个邮件运营商的白名单；有社交需求时需要考虑注册时采集昵称。

1.3手机号为主键

适合带支付的产品，或者纯移动端产品。优点是可以快速注册、后期运营数据推送消息及时、可通过手机号匹配所在城市。部分弱登录的移动产品开始无密码使用短信验证码注册并登录，可快速完成注册与登录。

需要注意：保障隐私，需要显示时非明文显示；发送短信验证码时避免内容中存在敏感词；考虑用户更换手机号被运营商回收后转卖的问题；还需要考虑的是，需要至少选择两个运营商，某一段时间内，不允许多次发送验证码到某一手机号，避免有人恶意通过短信平台骚扰其他用户。如果用户接连收到骚扰，有可能被短信平台封杀，造成巨大损失，所以多选几个运营商很有必要。

1.4第三方账户为主键

可迅速注册，注册后可进行创建自有账户，优点是可以拿到第三方账户里的一些个人信息；

需要注意：登录后如果选择创建自有账户会有用户流失的风险，不选择创建自有账户就是把账户体系全权交给了别人，存在一定的风险。

1.5社保卡、身份证类为主键

特殊场景下使用，比如公积金账户等一些社会福利账户，此类账户涉及实名认证，登录后可直接关联用户真实的身份信息。

2注册时要注意的点

2.1查重

注册的第一项是输入主键，由于主键的唯一性原则，所以第一步就是对主键进行查重，查重时最好是在输入验证码之后进行，这样可以有效防止通过程序恶意遍历已注册的账号；

2.2减少用户需要填写的项

注册时只需要填写必要信息，用户名，密码等，一些非必填信息不要展示在注册页面，可以在注册后用到指定功能时再考虑添加。考虑“同意用户使用协议”不用checkbox勾选，可与注册按钮合并为“同意用户使用协议并注册”。

2.3回到之前的页面

注册成功并登录后，需要回到用户激活注册的页面，这样用户感兴趣的信息不会丢失。如果没有办法回到一开始的页面，那就跳转至最核心的页面。

2.4只在点击注册时才把数据提交到数据库

注册除常见的单页面注册外，还存在多步骤注册，只有在最后一步再进行提交数据到后台，这样可以避免中断注册后再次开启注册误报“该账号已注册”的问题。

2.5不同角色的注册设置不同的入口

由于不同角色需要填写的信息不同，为了避免在填写信息时切换条件的麻烦，考虑用户在注册前就对不同角色用户进行分流。

2.6 邀请机制

有一种受邀方式是受邀用户是获得一串受邀字符，在完善注册时作为必填项，这样做可以有效保证用户的质量。还有种受邀方式是受邀用户在受邀时账户已经创建了，直接登录就可以了，例如管理员设置多个分管子账号。设置分管账号时需要注意不允许设置与修改子账号的密码，需要由子账户在管理员触发的加密链接下创建与修改，这样可以做到责任到人，避免纠纷；

3登录时要注意的点

3.1用户名或密码错误如何提示

单独抛出“用户名不存在”或“密码错误”会降级安全性，因为这样显示会给恶意遍历账号的人提供机会遍历出注册账号进而进行后续的破解密码；抛出“用户名不存在或密码错误”可以有效避免该问题。

3.2校验的时机与顺序

针对用户名与密码，避免出现输入框失去焦点即与数据库交换数据并校验的情况，理由和【3.1】一致。关于校验顺序，前端的规则大于与数据库数据交换，需要前端的校验规则通过后再进行数据交换，这样可以降低与后台交换数据的成本。

3.3验证码何时出现

验证码的存在为了防止机器恶意遍历账户，但是它的出现对用户来说是伤害体验的，可以考虑在输入密码错误1-3次后出现验证码，而且验证码可以选择有趣味性的种类，抚慰用户输入过程中焦躁的情绪。

3.4登录后回到之前的页面

回到用户登录时浏览的页面，避免用户感兴趣的内容丢失。

3.5单点登录SSO

注册登录一次，在所有的子产品中通用账户并共享个人信息。这种方式尤其适合子产品众多的产品。

3.6长期未登录、异地登录、陌生设备登录提示

长期不登录、异地登录、陌生设备登录都属于异常登录的情况，需要发送异常登录信息到邮箱或手机。

3.7Tab 键顺序与监听 Enter 登录

在登录页面注意规定键盘 Tab 键的顺序，防止出现错乱；监听 Enter 键进行登录操作的功能需要提供。

参考文献

[1] HoZiN.盘点[注册/登录]产品设计路上爬过的坑