「登陆注册模块」设计

自建用户系统

用户名

在自建用户系统中，单一用户名 + 密码的这种登陆方式已经很少见了，至多出现在一些内部系统中。对于云端的产品，一旦用户忘记用户名或密码，那么这个账户也就再也无法登陆了，除非找管理员证明身份来人工取回，这在如此大用户量的互联网产品中是不可行的。

所以用户名+密码的体系正在被淘汰，还比较常见的方式是用户名密码和邮箱或手机号码等一起

使用，例如一些论坛都采用这种体系，注册是同时提供用户名密码和邮箱，在登陆时可以用用户名+密码快速登陆。

手机号注册

手机号注册多见于移动端产品中，注册时使用手机号当做用户名，此时需要手机接收验证码来确认配对，配对可以为了确认注册的手机号是用户本人的，可以防止输入手误或他人恶意注册带来的风险。手机配对之后再输入密码和一些产品需要的相关信息，如昵称、性别、兴趣等，这些就与主要注册流程无关了。以下为手机注册的流程图（此流程图只绘制了最核心的流程，如果在PRD用，还需要加工补全逻辑。）

手机号登录注册

手机注册的优势在于：

a.对于移动端产品，验证方便，在注册时可以比较方便地让用户完成验证操作，而且在一个连贯的流程中完成（很多时候阅读验证码不需要打开短息，只是在上弹提示中就可以获取）

b.手机号记忆方便，对用户名的记忆和密码找回都非常方便

c.手机号码是用户最稳定的一个身份id，掌握其手机号码可以展开更多的服务，例如通过访问通讯录构建关系

d.实时的消息推送

手机注册的问题在于：

a.手机号虽然是全球唯一的，但是是复用的，也就是当你不用一个手机号之后，运营商会把这个号重复利用卖给下一个人

b.手机作为现代人的一大器官，手机号码的泄露会引起非常多的麻烦，比如垃圾短信、骚扰电话之类的，所以用户多会比较谨慎地选择

邮箱注册

邮箱注册作为最常用的注册方式，最早从Web端开始盛行，在移动端也普遍保留。作为一个很通用的注册方式，邮箱注册的讲究其实最多，因为邮箱注册的验证流程需要在外围（产品外）进行，会打断注册的连贯性，但是如果省略验证过程，又会丧失许多安全性，所以在邮箱验证的时机上有许多不同的策略。

邮箱最大的特点就是，邮箱地址是私有的，访问是私密的，但是地址是公开的。这会带来两种

风险，1.别人拿到你邮箱的可能性和成本都很低；2.生成邮箱来制造假账户的成本也相对低

我们先来看下以下三种注册流程：

流程1

流程1是不经过任何验证的邮箱注册流程，这种流程会带来以下问题：

如果Mr.X用你的邮箱注册了一个网站，并且进行了很多活动，当你来到这个网站的时候，你会发现自己的邮箱已经注册，于是用密码找回功能进入了网站，这时候你可能会发现自己的账户已经发布了许多广告或黄色图片，要不就是订阅了一堆不知名的账户。

那么我们就加上邮箱验证：

流程2

流程2加入了邮箱验证，不验证的情况下无法登陆，这就解决了自己的邮箱被别人注册的问题。但是还有一种情况需要考虑，当你翻看邮箱时，可能会顺手就点击了确认邮件而忘了是否是自己注册的

。所以流程2还可能有这个风险：

如果Mr.X用你的邮箱注册了一个网站，并发送了确认邮件，你顺手就点击了邮件里的确认邮件。这时候Mr.X就掌握了你邮箱验证后的账号，并从事了很多活动。后面的故事一样，当你来到这个网站的时候，你会发现自己的邮箱已经注册，于是…

那么我们就在验证的时候判断用户的登陆状态：

流程3

流程3在验证邮箱的同时验证登录状态，若没有登录则必须登录后才能验证邮箱，这样就避免了上面提到的被钓鱼的问题。

此处的另一种做法是，首次只能输入邮箱，待邮箱验证后再输入密码，这样也就不需要在验证邮箱时判断登录状态了。

经过如上的几部验证，安全性是保证了，但是用户很有可能因为繁琐的流程而在注册过程中流失。在市场营销中，有一种策略叫差异定价，即对不同类型的用户实行不同的定价方式。对于用户注册的成本，也可以采用这个策略，请见如下流程：

流程4

流程4的一切的主要流程还是不变的，但是在用户完成邮箱密码的输入后即可登录，但是是以待条件的状态登录，例如不可以发布，不可以评论等等，当用户需要使用这些功能的时候再提示用户去

验证。这样可以提升一些用户的使用体验。

邮箱账户的优势在于：

1.唯一id，除手机号外最容易记忆的id

2.富媒体推送，可向用户推送具有丰富内容的邮件，引导用户回到主站

3.相对于手机，邮箱的私密性相对低，风险敏感性低

邮箱的劣势在于：

验证需要跳出，所以邮箱注册会存在体验与安全性的矛盾。

三方账号系统

三方账号注册是用大用户量的社交网络的账户系统来注册自己的系统，像微信、微博、QQ这些产品拥有超大的用户量，一般用户都会有这些产品的账号，利用他们开放出的api来进行注册验证具有如下几个优势：

1.省去了用户管理账户的麻烦

2.省去了验证步骤。不论是手机还是邮箱注册都需要验证的步骤，由于三方账号本身在注册的时候已经进行过相关的验证，所以导入三方账号时省去了验证的麻烦。

3.通过三方账户可以导入用户的一些相关的信息，如邮箱地址，昵称，头像等，降低用户注册的

成本，还有就是在三方账号的用户关系，如微博的好友关系等。

4.快捷登录，无需输入用户名密码，只要手机上安装有三方应用或浏览器cookie中有三方登录的

信息，就可以快速一键登录。

三方账户的优点多多，但毕竟是别人的账户，一旦形成竞争或链接有任何问题，会导致用户登录不了，所以独立使用三方账户需要谨慎。

ID系统

上面说了两类若干种登录注册方式，但是万变不离其宗，这些用户对应到系统中都会有一个最唯一的标识，那就是“ID”，所以所有的注册方式，包括邮箱、手机、三方都是与这个ID绑定。那么如何绑定，绑定的程度是什么样，会根据不同的产品和场景来制定策略。这里可以从不同的维度来考虑。