luda 注册密码这部分功能经常包含短信验证的规则设置,共享小干货。
验证码即使不单独理解,也经常在应用程序中使用。验证码通常是4位或6位。实际上,位数并不重要。因为使用4位数随机数,也就是机器,也不会短时间碰到,所以很多新兴应用程序也逐渐抛弃了“传统”的6位数短信验证码。
失效规则
下面谈谈短信验证码的失效规则。当然,这部分设计工作是开发人员根据产品的安全等级设计失效规则,但部分开发人员会把这个锅扔给PM考虑。这时,PM需要合作,提出特定的规则,分享一些规则,让所有人都能思考。
同一手机号码的前三次短信请求,服务器端可以判断60s的间隔限制,终端可以用交互风格干扰用户的持续请求,让用户放心地再次接收。同样的手机号码4-8次要求3分钟内收到相同的验证码,每次都收到。如果对同一手机号码的请求每天请求超过20次,可以直接锁定手机号码,拉进黑名单,拒绝下一个请求。对于相同的验证类型(例如,忘记密码、注册等),输入3次确认代码错误将使确认代码失效。短信接收时间基本为2-3秒,时间再长的话,同学开发可能会受到质疑。因为图形验证码很容易绕过,所以不建议使用图形验证码、登录注册、查找密码等路径。文字相对来说是一种保险方式,图形验证码更常用于防止机器放置操作造成的服务器压力。语音验证是锦上添花的功能,调用第三方最好的界面即可。以上是登录注册功能过程中出现的问题和解决方案,欢迎对各种app的场景和使用安全级别进行具体调整、低级干货、喵喵补充。
登录注册链路
也注册了整个链接,为改造做了一些迭代。
1.登录时记住密码的时代已经过去了。再辣也有点傻。帮助登录成功的用户记住密码,每次进入后自动登录。主动点击退出,帮助用户清空密码。手机方面一般都有新原油有效期设置,用户正常使用或复盖安装升级不会终止登录。
2.很多应用程序削弱了注册过程,允许用户通过手机短信认证直接登录,自动帮助用户创建账号,让用户快速进入平台使用。其实是我个人偏向的方式,最简单的方法是用户容易加强记忆,谁会忘记自己的手机号码,以手机号码为基础,扩大个人账户、数据维护、安全性、密码管理等。产品设计的理念是简化逻辑和交互。为了让用户更清楚地知道自己想要什么,看页面后如何快速完成,另一种方法是参考Gebara进入app后,可以自由浏览电影、电影院信息等不涉及账号判定的功能。当用户真的想使用的时候,快速的账户注册和登录,可以成为更好的增量用户。
3.网站登录
网页扫码功能可以实现手机认证功能,比较常见的夜晚是微信客户端的直接点击手机许可登录方式,这不仅适用于客户端级产品,也适用于网页端。尤其是企业应用程序。为了安全起见,网页端登录可以进行双因素验证。也就是说,可以检测常用的登录位置(IP库和IP位置确认)或长时间未登录的测试,在账户密码登录后进行手机号码验证,确保账户安全。同样适用于企业应用程序,个人应用程序不需要这样做。最好的方法是使用授权或其他安全认证方式,使手机端的账户密码安全,使用手机完成网页和客户端注册。简单高效。(大卫亚设。)嗯,没有下一个了。
以上,小小的经验,大家都要纠正和补充,互相学习。
开始写文章的第一天,每天出一篇,感觉自己的出口能力弱,想以这种方式学习书面表达。嗯~你好,see u tomorrow。
这篇文章由@ShirleyW原创发表,所有人都是产品经理。未经许可禁止转载。