作為最基礎的常備功能潜圃，注冊/登錄往往是產(chǎn)品第一個版本中最容易被忽視的環(huán)節(jié)缸棵，越是看似容易，陷阱越多谭期；介紹相關產(chǎn)品思路的文章很多堵第，講交互的多，結合運營的少隧出；本文更多的是記錄那些坑坑洼洼踏志，希望對大家有幫助。

一胀瞪、非痴胗啵基礎

1.1因「私有化」而存在

不是所有的產(chǎn)品都需要注冊/登錄，除非[私有內(nèi)容/私有操作]具有足夠的吸引力凄诞。

注冊：用戶告訴系統(tǒng)Who is Tom涵紊；系統(tǒng)記錄Tom和口令；

登錄：用戶告訴系統(tǒng)I am Tom幔摸；系統(tǒng)辨別Tom和口令摸柄；

1.2Passport產(chǎn)品線及近親

通常把注冊、登錄既忆、找回密碼驱负、修改密碼嗦玖、賬戶關聯(lián)這幾件事歸為Passport產(chǎn)品線；它的近親是Profile產(chǎn)品線跃脊，包含用戶資料宇挫、個人設置等。

1.3登錄是高頻酪术，其他是低頻

注冊器瘪、找回密碼、修改密碼都是低頻操作绘雁，但都屬于迫切程度比較高橡疼，也最容易引發(fā)挫敗感，導致用戶投訴及放棄使用產(chǎn)品庐舟。

1.4術語：查重欣除、校驗、驗證挪略、匹配

查重历帚，“查詢是否有重復存在”的簡稱，比如：排除以手機為主鍵的重復注冊杠娱；

校驗挽牢，檢查數(shù)據(jù)是否符合格式，比如：輸入的時候為一個手機號碼摊求；

驗證禽拔，確認真實性，比如手機和郵箱真的是用戶本人使用睹簇，指紋奏赘、人臉識別；

匹配太惠，用戶提交的數(shù)據(jù)是否與存儲中的數(shù)據(jù)一致磨淌。

1.5術語：Spam與Anti-Spam

Spam指使用腳本、機器人進行惡意批量提交或遍歷破解的行為凿渊；

Anti-Spam指防止Spam的系統(tǒng)措施梁只。

1.6術語：單點登錄OOS

也就是所謂的通行證，注冊/登錄一次埃脏，可在所有的子產(chǎn)品（跨域）中通用一個Passport和相同的Profile信息搪锣。

二、注冊主鍵選擇

主鍵是數(shù)據(jù)庫設計中的一個概念彩掐，為了保證唯一性构舟，新增用戶時必須進行[主鍵查重]。

2.1以用戶名為主鍵注冊

Anti-Spam：非常弱（批量Spam賬戶）堵幽。

擴展性：高狗超，隨時可切換為以其他數(shù)據(jù)為主鍵弹澎。

使用場景：私有內(nèi)容/私有操作較少的情況，比如僅提供了回復努咐、投票苦蒿、點贊等[輕操作]；

產(chǎn)品雛形期渗稍，進行測試的新產(chǎn)品（開發(fā)比較容易）佩迟。

便利設計：注冊和登錄可合并在同一個界面（不考慮找回密碼時）；注冊時可順便把用戶名當作昵稱搜集竿屹。

注意事項：為了讓用戶找回密碼报强，必須設置密保問題，找回密代價很高（把自己用戶名給忘記了）羔沙。

2.2以郵件地址為主鍵注冊

Anti-Spam：中等（自從QQ郵箱出來躺涝，被遍歷攻擊的事兒也是不少俺辍）扼雏。

擴展性：中，可以隨時切換為手機主鍵夯膀。

使用場景：郵箱容易記憶诗充，適長期頻繁使用的產(chǎn)品；適合在web端需要依賴Newsletter進行營銷的產(chǎn)品诱建；非實名用戶系統(tǒng)蝴蜓，郵件主鍵的代價最小，轉化率較好俺猿。

便利設計：To B產(chǎn)品使用企業(yè)郵箱注冊茎匠，自動關聯(lián)企業(yè)主賬戶。

注意事項：郵箱是隱私押袍，掩碼顯示诵冒，如果包含社交功能，注冊時可能需要采集昵稱谊惭；進入各大郵件運營商的白名單汽馋，是一件頭疼的事兒，搞不好就直接進垃圾郵件了圈盔。

2.3以手機為主鍵注冊

Anti-Spam：弱（各種遍歷豹芯、各種騷擾，需要采取措施）驱敲。

擴展性：低铁蹈，幾乎不可逆（用戶也不答應）。

使用場景：帶有支付功能的電商众眨、消費類產(chǎn)品握牧；實名用戶系統(tǒng)便锨，需要用戶的絕對信任，初期轉化率低我碟，最好從郵件主鍵過度放案；只有移動版本的產(chǎn)品。

便利設計：根據(jù)手機號自動匹配地區(qū)城市矫俺、電信運營商（也有一部分用戶是攜號轉網(wǎng)的#_#）吱殉。

注意事項：手機是絕對隱私，能不顯示就不顯示厘托，顯示必須掩碼友雳，如果包含社交功能，注冊時可能需要采集昵稱铅匹；國外手機號幾乎不可以押赊，短信通道需要至少雙備，如果驗證短信中包含一些根本想不到的敏感詞包斑，會很慘流礁；用戶更換手機，運營商回收舊號碼賣給新用戶罗丰，都會大量存在神帅，請一定給出解決方案。

2.4由第三方賬戶創(chuàng)建（并登錄）

Anti-Spam：高（等于是把驗證權交給別人了）萌抵。

擴展性：高找御，可以在第三方驗證后再創(chuàng)建自有賬戶。

使用場景：幾乎適合各種類型的用戶自主注冊賬戶绍填。

便利設計：可以根據(jù)第三方授權拿來一大堆Profile里邊的信息（除了密碼）霎桅。

注意事項：把雞蛋放在了別人的籃子里，一定要心甘情愿讨永；登錄之后再創(chuàng)建自有賬戶滔驶，會存在一定的轉化率損失；去第三方申請授權住闯，要有耐心瓜浸，而且通常在產(chǎn)品初期拿不到太多的Profile數(shù)據(jù)。

2.5社會卡證類主鍵（身份證比原、信用卡）注冊

Anti-Spam：高插佛，因為規(guī)律性比較差，但也不排除社會工程hack手段量窘。

擴展性：都到了這步了雇寇，算是個終極。。

使用場景：特殊場合和人群锨侯，需要展示特殊的功能嫩海；實名用戶系統(tǒng)，需要用戶的絕對信任囚痴；必須關聯(lián)在線支付/移動支付才能使用的產(chǎn)品叁怪；通常都不會包含社交功能。

便利設計：直接關聯(lián)到用戶真實身份和征信深滚。

注意事項：通常驗證都是通過第三方信用組織進行奕谭，比如提交信用卡關聯(lián)的身份信息，由支付機構或銀行匹配之后發(fā)送一個驗證短信/郵件/二維碼痴荐；同樣是把雞蛋放在別人的籃子里（通常是親爹的籃子）血柳。

2.6其他主鍵

用汽車牌照做主鍵，真的可以有生兆；不是不可以难捌，但是盡量還是別摸著石頭過河；注冊主鍵在真實社會里一定是具有非重復且個人專有的特點鸦难。

2.7多主鍵復合注冊

當然可以啦根吁，注冊時沒必要提示用戶哪個是主鍵，反正登錄的時候會提示明刷。

2.8切換主鍵時注意事項

其切換主鍵之前婴栽，一定要對數(shù)據(jù)進行篩查满粗，情況可能是這樣的辈末，用戶使用郵件主鍵生成了一個用戶，當系統(tǒng)切換手機為主鍵時映皆，用戶會因迷惑而創(chuàng)建另外一個新賬戶挤聘，此時可能涉及到用戶數(shù)據(jù)合并的問題。如果這些沒有想清楚捅彻，就不要隨便更換主鍵组去。

三、個人注冊（To C）

3.1查重錯誤步淹，不要在注冊環(huán)節(jié)隨便給出

填寫一個手機號碼从隆，異步查詢是否可以注冊，雖給用戶帶來了方便缭裆，但也給駭客提供了可乘之機：寫一個腳本就能遍歷出來哪些號段多少個號碼注冊過產(chǎn)品键闺！請在驗證碼正確之后給出結果，或者單獨跳轉URL給出查重類錯誤澈驼；

3.2前端校驗和后端校驗都要進行

跨域攻擊是最簡單的手段咯辛燥，注冊這么大的事兒，一定要進行前后校驗（登錄之后尔许，可以根據(jù)系統(tǒng)壓力再進行簡化威根，登錄之前，還是謹慎為妙）曲稼。

3.3以郵箱和手機注冊主鍵榴都，第一步只做一件事：驗證主鍵

沒有驗證過的郵箱和手機會弄臟用戶數(shù)據(jù)待锈，臟庫是無法切換登錄主鍵的！

注冊的第一步嘴高，只做一件事情就好了炉擅，不要讓用戶填寫其他信息（填寫密碼也不行）。

3.4分步注冊阳惹，暫存數(shù)據(jù)谍失，只有在用戶提交密碼那一刻，才創(chuàng)建正式數(shù)據(jù)

如果第一步是校驗主鍵莹汤，那么應該暫存數(shù)據(jù)快鱼，只有在主鍵驗證完畢，下一步用戶填寫密碼并提交之后纲岭，再創(chuàng)建正式數(shù)據(jù)抹竹。（這個坑是這樣的：用戶第一步提交郵箱，但是驗證郵件沒收到止潮，此時可能用戶會再次啟動注冊窃判，如果前面已錄入正式數(shù)據(jù)，可能會顯示這個“這個Email已經(jīng)注冊過了”）喇闸。

3.5有必要重復確認密碼么袄琳？

沒必要！設置這個的初衷無非是避免用戶注冊時輸錯密碼燃乍，輸錯=忘記密碼唆樊，就去找回密碼咯。

3.6只采集必要數(shù)據(jù)刻蟹，填寫項目越少越好

在注冊環(huán)節(jié)逗旁，標注[必填]是個爆弱的設計，如果是選填舆瘪，就別讓用戶在注冊環(huán)節(jié)提交片效。

3.7包含社交的產(chǎn)品一定要讓設置頭像成為必填

注冊之后，需要很大的運營代價才會讓用戶上傳頭像英古，因此這一步驟最好是前置淀衣。

3.8昵稱需要查重么？

需要哺呜！避免李逵和李鬼舌缤；盡量杜絕錄入火星文和特殊字符（視情況額定）箕戳。

3.9驗證碼何時出現(xiàn)？

參考后面章節(jié)7.3

3.10讓用戶發(fā)送密碼短信到特定號碼進行手機注冊国撵，這很矬

誰會用陵吸？有多少用戶愿意自己付出短信成本？除非特別緊急的情況下介牙。

3.11同意《用戶使用協(xié)議》

讓用戶勾選閱讀并遵守《用戶使用協(xié)議》壮虫，不如把注冊按鈕改為“同意用戶協(xié)議，提交注冊”

3.12邀請碼注冊要走單獨流程

輸入邀請碼或點擊邀請郵件中加密連接進行注冊环础，可關聯(lián)邀請者ID囚似，需要的單獨設計注冊界面。

3.13注冊與登錄合并設計（快速注冊）

以用戶名和手機為注冊主鍵的時候线得，可以這樣設計饶唤；但以郵箱注冊的時候，用戶需要跳出到郵件系統(tǒng)贯钩，快速注冊就沒意義了募狂；快速注冊以后自動進入登錄狀態(tài)。

3.14注冊結束后角雷，必須讓用戶再登錄一次（快速注冊除外）

這不僅僅是個儀式感祸穷，而且是安全的需要，增加自動腳本Spam賬戶的難度勺三。

3.15注冊應該避免設計成light box（快速注冊除外）

注冊復雜程度不一雷滚，并且會經(jīng)常迭代改善產(chǎn)品，因此校驗代碼和各種邏輯判斷非常多吗坚，如果做成light box效果祈远，可能會拖累很多界面的加載速度，也會讓維護和測試變得麻煩刻蚯。

3.16注冊后的（首次登錄后）歡迎與提醒绊含，設立URL暫存池

注冊完成有結果提示和簡單的歡迎，然后就需要讓用戶進行跳轉炊汹；記錄用戶點擊注冊之前的界面URL，在用戶跑完注冊/登錄流程之后逃顶，回到那個URL（“從哪里來讨便，就回到哪”）；如果無法判斷用戶注冊登錄前的URL以政，那么跳轉到一個最核心的私有內(nèi)容界面霸褒；用戶可以選擇回到Profile管理；

四盈蛮、企業(yè)商家注冊/入駐（To B）

4.1商家注冊（申請）建立在個人賬戶基礎上

先完成個人賬戶注冊废菱，再創(chuàng)建商家；在注冊商家的同時，創(chuàng)建一個個人賬戶殊轴；以上兩種方法都可以衰倦。因為商家賬戶的管理者通常是員工，如果該員工離職旁理，企業(yè)會要求進行管理權轉移樊零，把商家掛在個人賬戶下面，靈活度最高孽文。

4.2在注冊之前分流角色驻襟，而不是注冊過程中

企業(yè)商家用戶通常按行業(yè)分類，比如賣方需要提供代理證明芋哭，而買方需要填寫收貨地址沉衣；此時最好設置為兩個入口，而不要在注冊的過程中進行條件分支减牺。

4.3審核期過度界面

通常企業(yè)商家注冊都需要一個運營審核過程厢蒜，此時，用戶可登錄個人賬戶使用一些基本功能烹植，請把審核進度明示給用戶斑鸦，同時給予企業(yè)商戶功能的演示介紹。

4.4企業(yè)子賬戶應該是邀請的草雕，而不是隨便填寫的

不要讓企業(yè)商戶管理員直接填寫子賬戶的用戶名和密碼巷屿，建議企業(yè)子賬戶以email為主鍵，走邀請的流程墩虹，讓其他員工自己驗證郵件嘱巾、填寫驗證手機和密碼，這樣做責權清晰诫钓，安全性最高旬昭。

4.5企業(yè)管理員不能直接修改子賬戶密碼

企業(yè)管理員觸發(fā)一個驗證郵件給子賬戶，子賬戶可以自行通過加密連接修改密碼菌湃；必要時问拘，管理員可以凍結那個強制要求修改密碼的子賬戶的權限。

五惧所、登錄

5.1登錄主鍵提示

在主鍵input當中骤坐，允許用戶填寫不同的主鍵，雖然校驗比較麻煩下愈，但是用戶便利了纽绍。

5.2注意登錄錯誤信息拋出方法

單獨拋出“該用戶不存在”或者“密碼不正確”可能會是不科學的，因為很可能方便了別有用心的人势似，比較安全做法是“用戶名不存在或密碼不匹配”拌夏。

5.2記住用戶和記住密碼是兩種不同的功能

一種是保存“主鍵”僧著，另外一種是保存“主鍵+口令”。記住用戶名障簿，就一定要有切換用戶的功能盹愚；保存口令，要看產(chǎn)品的使用頻率卷谈，使用頻率越高保存周期越短（在便利和安全之間的平衡）杯拐，保存周期最好不要超過3個月（甚至可以設置3個月強制更換密碼）

5.3驗證碼何時出現(xiàn)？

參考后面章節(jié)7.3

5.4防止重復登錄

這個經(jīng)常被忽略世蔗，同客戶端端逼，后來登錄的踢掉前面的session;允許web、手機app污淋、HDapp同時登錄顶滩，但每個終端只能保持一個session哦

5.5盡量設計成light box或類似效果，登錄之后“從哪里來寸爆，就回到哪”

注冊礁鲁、登錄前暫存URL，是一個很重要的登錄體驗優(yōu)化赁豆。

5.6二維碼登錄

如果有移動app仅醇，通過App掃二維碼可以直接登錄web版本。

5.7長期未登錄魔种、陌生移動設備登錄析二，加一個判斷，通知到郵件

長期未登錄节预，突然在異地登錄叶摄，在陌生的移動設備上首次登錄都屬于異常的情況，此時要增加用戶判斷的環(huán)節(jié)安拟，并發(fā)送通知到郵件蛤吓。（手機號碼可以換，郵件地址不會隨便換吧）

六糠赦、找回密碼/修改密碼

6.1密碼的安全

除了足夠的位數(shù)要求会傲、大小寫和特殊字符要求，可以通過判斷要求用戶不允許把密碼修改為曾經(jīng)用過的密碼（開發(fā)量略大）愉棱，不能使用常見密碼唆铐、純數(shù)字密碼、生日密碼等奔滑。指紋、虹膜顺少、手勢……密碼的種類會越來越多的朋其。

6.2按問題找回密碼王浴，或創(chuàng)造問題找回密碼

直接輸入郵箱和手機就能找回密碼，不是一個好設計梅猿，應該還是要進一步判定身份氓辣；設置找回密碼問題是通常的設計；可以嘗試“下面多用戶哪些是你曾經(jīng)的聯(lián)系人”袱蚓、“請輸入你曾經(jīng)用過的密碼”“下面哪些寶貝你曾經(jīng)購買過”等等钞啸；為了防止Spam，設置一個驗證碼也可以喇潘。

6.3按郵箱找回密碼

發(fā)送一個密碼找回函体斩，用戶通過加密連接修改密碼，密函有效期盡量短一些颖低；

如果用戶說“郵箱密碼忘記了絮吵，或者郵箱不用了”，那就無法修改密碼忱屑，人工服務也不行蹬敲！

6.4按照手機找回密碼

手機發(fā)送要防遍歷Spam，手機驗證碼有效期越短越好莺戒，10~20分鐘就可以伴嗡。

要提供“這個手機號碼已不再使用”的解決方案，僅以手機為主鍵从铲，且手機丟失瘪校、號碼不再使用的情況，要求進行驗證食店，比如“下面多用戶哪些是你曾經(jīng)的聯(lián)系人”渣淤、“請輸入你曾經(jīng)用過的密碼”“下面哪些寶貝你曾經(jīng)購買過”等等，然后再進行解綁和重新綁定吉嫩；必要時加入身份證信息上傳功能价认；實在不行了，再轉人工服務自娩；手機丟了怎么辦用踩？手機不是有屏保密碼么？不設屏保密碼忙迁，那責任在誰脐彩？

6.5找回密碼/修改密碼之后，必須讓用戶再登錄一次

依然是一個安全問題姊扔，也是給Spam腳本增加難度惠奸。

6.6找回密碼/修改密碼與提醒

用手機找回密碼，就不要發(fā)手機提醒了恰梢，發(fā)個郵件是可以的佛南；用郵件找回密碼梗掰，不需要特殊的提醒；只用問題就找回密碼嗅回，發(fā)個郵件比較好及穗；郵箱本身有密碼，手機本身可能無密碼（易被濫用）绵载，因此埂陆，用郵箱找回密碼安全級別較高。

6.7人工密碼服務

必須通過系統(tǒng)內(nèi)保存的郵件發(fā)送相關的身份證明娃豹，不能隨便找個郵箱或者qq就發(fā)送了焚虱；不是修改密碼，而是人工發(fā)送一條密碼找回函到注冊時的主鍵郵箱培愁；人工解綁著摔、綁定手機的這個功能，不推薦定续，道德風險比較大谍咆；呼叫中心成本比較高，現(xiàn)在流行用微信做人工服務私股；

七摹察、驗證郵件、驗證短信和驗證碼

7.1要控制郵件發(fā)送的頻率

雖然用戶可能不反感倡鲸，但是郵箱提供商可能直接認為是垃圾郵件地址了供嚎；

可以努力通過技術手段或者購買服務，進入各大郵件運營商的白名單峭状；

7.2手機短信這個坑啊

如果大量依賴手機主鍵克滴，短信運營商至少要找兩家，進行雙備份优床；要有[熔斷]機制劝赔，在某一時間段內(nèi)，不允許連續(xù)發(fā)送短信到某個手機（防止Spam）胆敞。曾經(jīng)遇到過惡意的將驗證碼連續(xù)發(fā)送到某個手機（當然不是黑客自己的號碼）着帽，用戶直接投訴，整個短信通道被運營商封殺移层，直接跪了仍翰；多次沒收到短信，要給予時間間隔观话，此間不允許發(fā)送予借，要求客戶耐心等待；短信內(nèi)容要提前發(fā)送測試，總有一些敏感詞蕾羊，臣妾想不到靶省帽驯；

7.3驗證碼何時出現(xiàn)

Anti-Spam的驗證碼降低了用戶感受龟再，因此，推薦在初次使用時不出現(xiàn)驗證碼尼变，在1~3次錯誤之后利凑，出現(xiàn)驗證碼；盡量讓驗證碼新奇好玩一些嫌术，減輕用戶反感哀澈。

八、Passport產(chǎn)品經(jīng)理須知

8.1需要專職的產(chǎn)品人員和運營人員負責Passport度气？

如果是電商割按、線上交易類的，幾乎必須專人負責了磷籍；如果包含支付環(huán)節(jié)适荣，又木有專人負責，最好直接使用成熟的登錄/注冊設計院领，不要標新立異弛矛；如果整個產(chǎn)品只有一個人操辦，那么恭喜了比然，這個文檔也許有些幫助丈氓。

8.2注冊轉化率那點事兒

要看追求何種目標，如果是以注冊量為KPI强法，注冊過程越簡單越好万俗，在注冊之前盡量給與更多的利益展示；

8.3注冊統(tǒng)計

通過促銷活動注冊的用戶饮怯，要單獨進行渠道統(tǒng)計闰歪，雖然理論上這些幾乎都不會成為持久的DAU，但總是需要知道各種渠道的效果對比硕淑；

8.4與運營團隊配合解決問題

本文羅列的問題课竣，僅能算作一些基礎，實際運營過程中置媳，用戶在注冊/登錄問題是千奇百怪的于樟，大家還是要有個心理準備。為1%的用戶創(chuàng)建100%的功能拇囊，得不償失迂曲，但產(chǎn)品經(jīng)理總是要給出一些答案。

本文實乃一家之言寥袭，難免有疏漏路捧，敬請海涵