看到这篇文章,真的很有同感,我也曾和程序日夜奋战多日,这句“给程序员挖坑的产品狗”好幽默,哈哈哈,以下文章收录于此,供大家学习参考。 设计验证码的目的是为了验证是机器还是人为,也用于校验是否本人操作。早前验证码有发邮箱,但现在注册体系一般以手机号做主体,所以主流还是发手机短信验证码。 一、短验设计 短验内容:【短信签名】XXXX,#文本,发送场景,短验编号,危险提示#。 如:【APP名字】1234,支付验证码编号15,请勿给他人,谨防受骗。 1. 一般把短信签名放在签名,用于标记该短信是哪个产品发出 如果用户短时间内,操作多个产品的发短验行为,加上发送短验有延迟问题,短信签名放在签名,能让人一眼辨认出短验隶属方,以防搞错。当然放后面也是常见做法,区别不大。 2. 短验长度一般为4或6个随机数字 至于为什么是4/6,是从系统安全性和人瞬间记忆综合考量,机器遍历4位验证码要10^4次,遍历6位验证码要10^6次,普通机器遍历耗时起码几分钟。4/6长度对于人的瞬间记忆来讲,体验较好,再长记忆就有点吃力了。 3. 设置验证码有效期 考虑到短验发送有网络堵塞等原因,用户迟迟未收到,会短时间内多次获取,所以一般设置验证码有效期。 在有效期内且短验未失效时,短验内容一致,防止用户已获取多次,但收到之前短验,校验失败,如:用户第一次获取验证码(1234),网络延迟用户第二次获取验证码(5678)后收到短验1234,校验失败。 一般做法是:第二次短验仍是1234,那么即使发送延迟,也能校验成功,这种做法适用于不需要太严谨的场景。 对于一些获取一次就要重新生成短验的做法,可参考银行做法,在发送短验界面和短信内容写明短验编号,如下图: 运营商/合作商及有些敏感时期,对短信文案有要求,一些文案是不能发送的,所以建议确定短信文案后跟运营商/合作商报备下,之前跟某甲方爸爸合作时就要求在短验后面加上诈骗提醒。 提一句:短信文本超过70个字(符?)在一些手机上会分成2条短信发送,文案最好能简洁至上。 5. 发送次数限制 有些不谋好意人会故意频繁请求获取短验,影响正常用户操作,来敲诈。所以一般会对同一IP,同一手机号等在某段时间做发送次数限制,如:限制同一手机号24h内最多获取短验10次,超过次数提示24h后再试。 6. 价格 按照之前公司发送体量,对接的几家渠道商,通知类短信价格一般到0.02-0.04元左右,营销类短信价格在0.03-0.04元,爸爸级别的合作商要收0.1+元。 二、交互设计 以注册验证码为例,别的场景大同小异。 一般注册页面的手机号和验证码在同一界面显示,如下图1: 注意点: 焦点在手机号和验证码输入框内,自动唤起数字键,支持切换键盘(题外话:我这种懒人把卡号,手机号等存成常用语,支持切换键盘可直接粘贴,不用一字字输);输入框支持一键删除;校验手机号长度,长度=11位数字时,获取验证码按钮才点亮;纯数字输入框,不支持输入数字外字符;获取验证码后给予延迟提醒;在获取验证码请求成功后,将手机号置灰,不可修改;页面必填项有空值时,登录按钮置灰;输入框不要禁用粘贴功能,支持用户粘贴不用一个个输入数字;输入框有默认提示文案;(这个特别适用于千奇百怪的密码要求,有些网站密码不支持特殊字符,错误提示还不写明原因,可以用默认文案告知设置要求)若同一手机号短时间内获取次数超过阈值,可增加难度,如增加图文验证码,图文校验通过后才能获取短验。 有时,注册项太多和增加频繁获取验证码的难度(输入手机号和获取短验是2个页面,多1个页面就多个难度但治标不治本)会设计成分页,如下图2。 多页设计也适用输入项太多的场景,一来容错率高防止错一项,所有输入框重填;二来输入项太多,没有操作欲望。(如果非要一页显示,希望输入框失去焦点时能自动入库,用户下次进入页面能回显) 多页设计注意点: 输入正确格式的手机号后,自动获取验证码,无需再让用户操作;验证码获取页显示手机号,可方便用户检查是否填错;若分多页,告知共有几页,当前在第一页,如第一页,第二页,第三页…… 三、短验的发送逻辑 我们直接跟渠道商对接:我们告诉渠道商要给某手机号发短验,渠道商告诉运营商,运营商发短信到用户手机,如路径1。我们跟合作商对接:我们告诉合作商要给某手机号发短验,合作商在告诉渠道商–>运营商–>手机,如路径2。合作商和“我们的产品”的关系可理解成集团和子公司的关系。 一来集团体量大议价权强,由集团和渠道商合作可谈下更低更好的价格/服务;二来若集团有多个子公司要和渠道商合作,每个子公司都要对接流程麻烦,一般合作是:集团谈合作,子公司适用。 注:验证码的生成规则:我方生成或合作商/渠道商生成,并不是短验都是自己程序生成的。 四、对账 以路径1为例:我们告诉渠道商要给10个手机号发短验,渠道商会立即(同步)反馈我们收到要发10条的要求【接收请求成功】,10s后(异步)告诉我们他已经通知运营商要发8条短信了,20s后运营商告诉渠道商,渠道商告诉我们5条短信已发送到手机【发送短信成功】。 所以,核对发送数量时要明确核对的是发送请求成功数量,还是发送短信成功数量。 一般我们说短信发送成功,是指我们告诉合作商/渠道商要发短信成功,并不代表用户收取验证码成功。因为短验发送路径较长,每一步出错都会导致用户收不到,并不是收不到短信,就是有bug。 五、短信死活收不到的原因及解决方案 手机欠费,停机(用户自行检查);被拦截软件拦截了(在拦截短信里找);信号不好(换个信号好点的地方/手机呗);运营商黑名单(找渠道商或运营商核实后解除黑名单);手机问题(换个手机试试);遇见鬼了(找程序员解决);其他忘了,想起来再加。 六、腹黑谣言时刻 有时短验被频繁获取,可能是坏坏的渠道商在冲量。短信成本可高可低,回扣水分很大。 本文转载自@有一个姑娘 原创发布于人人都是产品经理。 |