本文是作者系列文章的第三篇，笔者对“注册登录流程基于不同行业、不同类型、不同的安全要求，是否存在最优的设计方案？”这篇文章从剩下的四个维度：权限获取、注册协议、登录方式和整合账号进行解答。

前面两篇文章，分别写了3、4和5，那么这一篇，就是这个系列的最后一篇了。

本系列文章都是基于以下33款APP的数据分析，数据是2018年11月的：

一、权限获取

1. 常见权限

移动应用为了自身的功能需要等，常常需要获取用户的权限授权，常见的权限如下：

• 手机定位
• 手机号码、IMEI、IMSI、直接拨打电话
• 访问照片、媒体内容和文件
• 读取通话记录（随手记、分期乐）
• 写入/删除通话记录（随手记）
• 读取短信授权（挖财记账）
• 接听或挂断电话、监听通话状态（快手、抖音）
• 直接拨打电话（抖音）
• 获取手机的账户列表（陌陌）
• 读取联系人（陌陌）
• 录制音频（陌陌）

2. 获取权限的注意事项

有些权限如果只是生硬的出现一个授权弹框，想必用户会心里打鼓吧？

比如：读取通话记录，直接拨打电话，录制音频……

如果什么说明都没有，你作为用户，看到这些会是什么感觉？

——“这个软件想干什么，为什么要我这些权限？它想窃取我的隐私吗？它……然后进入受迫害妄想中……”

所以，在请求获取权限之前，清晰的说明获取权限的用途，降低用户的心理压力，是很有必要的。

以微博为例：

（用户点击开启，则会进入图3、4。若用户点击图1弹框左上角的叉叉，则会出现图2）

从图2可以看到：如果不授权，微博是直接拒绝用户使用的。这个就要根据自身的知名度、用户粘性等，来判断了，毕竟供求关系决定了谁更有主动性，比如：快手，就算在启动页时拒绝了授权也可以正常使用。

2. 获取权限的时机

要求用户授权的时机也是需要考虑的，是启动页获取？用户同意隐私协议户获取？注册登录后获取？登入首页后获取？还是用户使用到对应需要授权的功能时再获取？也是要结合产品的实际情况来进行判断和选择。

以陌陌为例：

• 在启动页时获取权限：手机号码、IMEI、IMSI、直接拨打电话；访问照片、媒体内容和文件；手机定位（同时弹框说明获取对应权限的用途）。
• 在点击查看手机联系人时获取权限：获取手机的账户列表；读取联系人。
• 在需要录制音频时获取权限：录制音频。

当用户有功能需求时，再去获取某些权限，可以降低用户的防备心，和授权的心理压力。

这里插播一句，比如：微信上线的看一看，把公号文里的点赞改成了“好看”，而后改为“在看”，也是为了降低用户的使用压力，“好看”参杂了个人态度和意见，显然不如“在看”来得轻松了。

二、注册协议

常见协议

为了明确双方的责任权利，注册协议是必不可少的，这33款内出现的协议如下：

• 注册协议 / 用户注册协议 / 注册服务协议 / 使用协议 / 用户协议 / 服务协议 / 服务条款/ 用户服务协议 / 服务许可协议 / 注册用户服务合同
• 隐私政策 / 隐私权政策 / 隐私保护政策 / 隐私政策更新 / 隐私权保护协议 / 隐私权保护政策 / 法律声明及隐私权政策
• 会员服务协议
• 软件许可及服务协议
• 账号信息合并协议
• 订单共享与安全
• 投保须知
• 重要告知及声明

名字改来改去，内容大同小异。

比较常见的搭配是1和2：服务协议+隐私政策。协议主要是为了公司的风控，所以有法务的找法务，没法务的，就多看看竞品的。

六、登录方式

常见方式

登录方式更多取决于注册和产品的安全需要，以及开通的验证方式。

• 开通了第三方授权登录的，直接使用第三方授权登录是很方便，也省钱的。
• 会员名、会员ID、注册/绑定邮箱+密码登录。
• 绑定了手机的，那就密码/短信。相对来说，短信更安全。毕竟很多用户喜欢使用相同的密码，一旦某个应用的用户账号数据库被攻破盗取，那么黑客就可以通过撞库来窃取用户其他平台的账号（所以非常用设备登录的安全控制也很重要）。不过短信需考虑网络延迟、公司费用等问题，不过登录是个非常用操作，只要结合防刷机制，也不会多太多成本。
• 开通了指纹解锁、手势密码的，也可以作为登录验证。

总的来说：第三方授权登录和手机+验证码，是目前最常见的登录方式（也是主流的注册方式）。而年份比较久的产品，过往采用了邮箱注册等方式，所以也保留着邮箱+密码登录。有些产品过往需要设置登录密码，而后放弃了登录密码，所以只有老用户才能使用密码登录。

非常用设备登录

很多对账户安全有要求的产品，都会做非常用设备的安全控制。

比如：微信，如果使用非常用设备，需要进行短信/好友验证。而如果账号在别处登录成功，原登录设备，会收到很详细的弹框提示，如果用户账号被盗，可以第一时间得知，并采取措施。

如金融产品等安全级别很高，涉及资金安全的，还会需要短信、人脸、银行卡等结合验证。我在使用京东时也遇到过，“输入历史订单收货人”的验证。

验证的目的是：确保用户账号的安全，形式并不固定，不同的产品也可以有不同的创新。

插播一个小故事：

不久前一个同事的手机掉到了地铁铁轨旁边的水沟里（水沟的口子也没多大，这运气也是没谁了，关键泡了一天还能用，苹果也是可以的），然后只好用公司手机登录微信，由于手机卡也没有，只好使用好友验证。

微信本来要求至少两个好友，发送一个随机码给该用户（说到这，监控确实是啊……），可是因为我在10秒内就发送了随机码给她，所以在只有我1人验证的情况下，她直接通过了验证。

如果这不是偶然或者我的误会，那么应该是微信设置了超短时间验证的特殊机制，也就是“验证人的朋友正好在他身边”的场景，还是小有惊喜的设计。

七、整合账号

什么是整合账号

整合账号，就是：用户可以通过一个账号，登录某个公司研发的多款产品，而不再需要注册多个账号；或者，用户可以使用某个应用的账号，登录另一款应用，比如使用淘宝账号登录支付宝，使用支付宝账号登录淘宝，也就是用户不同账号实现了关联。

整合账号的好处：一方面降低了用户的注册成本，更重要的是，有助于对用户的管理和数据的整合分析。

所以，在这次分析中，发现很多大公司都进行了账号整合。（微信的OpenId和UnionId也是类似的概念，在第二篇中有描述，有兴趣的朋友可以点击查阅）

账号整合的公司

在对33款产品的分析发现，平安、淘宝、分期乐、小米等都实现了账号整合。

• 平安的平安一账通账号，可以直接登录平安好医生、壹钱包、平安一账通、陆金所。
• 支付宝/淘宝账号，可以直接登录支付宝、淘宝、天猫。分期乐的账号可以登录桔子理财。
• 小米账号也在小米系的应用通用。

某些公司下多个应用间，就算没有完成账号整合，但只要绑定了用户的唯一身份码，如手机号、身份证号等，要对用户数据进行整合也是很方便的。

相关阅读

http://www.woshipm.com/pd/1584275.html

http://www.woshipm.com/pd/1638232.html

作者：Arya.阿雅，微信号：Tasia_Y，目前区块链PM，欢迎加微交流。

本文由@Arya.阿雅 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自Unsplash, 基于CC0协议。