账号体系与账户体系关系图、功能清单及核心逻辑
账号与账户,看似只是系统设计中的术语之争,却往往隐藏着产品逻辑的分野与用户体验的关键节点。从概念厘清到功能清单,再到一张关系图的思维落点,本文试图还原账号体系与账户体系之间的结构关系与核心驱动,为产品设计者提供可落地的思路与模型参考。
一、账号与账户的关系、涉及的功能点
如果只是 浅层次的理解,可能只能看到以下简单的关系链路,如下图:
要深度理解,账号与账户的区别,才能结合业务诉求,深度构建相对完整的账号体系和账户体系蓝图。首先,我们来看账户与账号的区别点如下:
账号账户体系发展至今,已经形成2大体系:账号体系+账户体系
- **账号体系(钥匙):**登录、三方登录、单点登录、切换账号、退出登录、修改手机号、修改登录密码、忘记登录密码、账号绑定解绑、账号合并、账号冻结/解冻、设备管理(部分)、账号日志(部分)
- **账户体系(容器):**用户信息修改、支付密码管理、实名认证、注销账户、账户冻结/解冻、母子账户、账户合并、隐私协议、消息通知
- **双体系:**注册(同时涉及账号和账户的创建) – 设备管理和账号日志可能涉及双体系,但主要归属账户体系(因为设备管理是管理哪些设备(钥匙)可以访问容器,日志记录的是对容器的访问和操作)
总结:健全的账号账户体系深度结合风控系统,才能完美实现打牢系统根基的同时又能规避业务风险和系统风险。因此,对于一个产品而言,系统的学习和梳理账号账户体系,是很有必要的一个过程,它是产品经理基本功的体现。比如抛出几个疑问,看看大家如何思考破局方案?
1、用户注册流程中,是先走风控系统检测,还是先走后台系统业务规则校验?这个是关于系统设计顺序的实用问题。两种方式的优劣,以及最优方案是什么?
2、为什么自己新买的手机号注册一款新的APP时,竟然出现历史业务数据和用户资产?出现这种场景,对于产品经理来说,如何从系统设计层面避免这种情况?如果无法避免,如何做好用户的资产安全防护?这涉及到手机号回收机制、系统设计缺陷和安全防护等多个方面。
3、关于做一款APP的手机号一键授权登录,请问一键授权本机号码的取号原理和规则是什么?这涉及到一键登录注册的各种异常处理,产品需要知晓并提出合理化的建议和解决方案。比如:有的用户手机中拥有双卡双号,怎么取号?这就涉及设备ID绑定关系的确定、SIM卡变更检测,可能触及风控系统;也可能出现APP向运营商取不到号码掩码的情况,又该如何处理?
4、你做产品经理后,是否遇到一些用户需要修改手机号,但是手机号已经没使用,账户上还有余额资产,结果用户又把新的手机号注册了。作为产品经理,你是如何出具方案解决此类问题的?
5、你做产品经理后,是否遇到过前人挖的坑。由于前期产品设计中的账号账户体系以及风控安全体系不够完整,就没做找回账号账户的功能设计。当你入职后,leader第一个任务就是让你做找回账号账户功能。首先你调研后发现用户既没有做实名认证,也没有做生物认证。直接用短信验证码找回账户的话,又担心出现手机号已经二次回收场景。如果你在这样的一家公司任职产品负责人,且历史付费会员已经数百万,储值余额剩余数千万,这样的烂摊子,你该如何破局?
6、你做产品经理后,是否遇到过恶意注册、机器人攻击、短信/邮箱轰炸漏洞、黑产自动化工具,那么你是如何与技术团队沟通,做好风险识别和业务风险规避的?
二、名词解释:登录、注册、账号、账户
**1、注册的定义 (Sign Up / Register):注册是帮助用户创建账户的过程。**它的流程是:
- 用户提供创建账号所需的信息(通常是用户名/邮箱/手机号,以及密码)
- 系统验证信息的有效性(如用户名/邮箱/手机号是否存在/有效/可用、格式是否正确、密码安全强度是否足够)
- 系统验证信息通过,将在数据库中创建一个新的账户记录。
- 系统将用户提供的账号信息(用户名/邮箱/手机号+密码)作为该账户的第一个有效登录凭证存储下来;
- 通常注册过程中,有些系统还会引导用户完善一些基础的账户信息(如姓名、昵称、性别、偏好等)**注册的核心作用:**注册过程建立了账号(登录凭证)与账户(数据容器)的绑定关系。
**2、登录的定义(Log In / Sign In):登录是用户通过账号(登录凭证)向系统证明身份,从而向系统获得访问其账户权限的过程。**它的流程是:
- 用户输入账号信息(手机号+验证码、用户名+密码等各种登录方式),向系统发起请验证请求;
- 系统去数据库中查找该账号信息。
- 系统验证用户提供的登录凭证(如手机号与验证码是否匹配、用户名与密码是否匹配);
- 系统验证成功后,系统建立用户会话(例如生成并返回一个认证令牌如Cookie或者Token),标记该用户已通过身份验证。
- 用户获得访问和操作其账户的权限。
**登录的核心作用:**登录过程其实是验证用户提供凭证是否有效的过程,登录是使用账户的钥匙。用户身份验证通过后,才有权限进入系统去查看和操作他自己的用户信息及资产。登录功能是验证用户身份的核心机制,确保访问权限。
**3、账户的定义(Account):账户是储存用户信息(包括注册信息、权限、操作记录等)的系统档案或数据记录。**账号是根基,一个实体用户在一个系统中通常只有一个主账户(尽管可能有子账户或者多角色账户的概念,如你在银行有贷款账户、存款账户)它包含了与该用户相关的所有信息,通常包括:
- 唯一标识符:用户ID或者UserID或UID,通常是系统内部生成的一个数字或者字符串;
- 核心凭证:账号信息(用户名、邮箱、手机号)和对应的密码(密码通常是要加密储存的)。核心凭证管理也叫账号管理,用户可以在其账户设置中管理关联的账号,例如添加新增登录方式(绑定手机、绑定微信、支付宝)、修改账号的密码、删除旧的登录方式等;
- 用户资料:昵称、头像、性别、生日等信息;
- 用户资产:余额、积分、卡券等;
- 关联数据:用户的操作历史、业务数据、订单记录、收藏夹、好友列表、权限设置、会员等级、设置偏好、标签、用户画像等;
- 安全信息:二次验证设置、登录设备记录、安全问题答案、实名认证等;
**4、账号的定义 (Account Identifier / Login Name):**账号是用身份的唯一识别,是用于登录到用户账户的凭证标识。它直接给用户的呈现形式如会员号卡号、银行卡号;账号功能是唯一标识用户身份,它关联登录凭证与系统权限。从系统维度,完整的账号内容包括:
- 用户名:用户自定义或者系统分配的唯一名称,如张三/user001(发展至今,此字段并非必要);
- 邮箱/手机号:更常用做登录名,因为他们通常全局唯一且方面用户记忆。
- 密码:与上述的用户名/邮箱/手机号配对的秘密字符串,用于验证用户身份。一些网站经常为了密码安全性,不允许连续的数字/重复的数字/不能涵盖自己的手机号生日等要求,甚至要求必须涵盖“数字、大小写字母、特殊字符,且有最低最高长度要求,这就完全不放面用户记忆)、
- **账号的核心作用:**它的核心功能就是用于“登录”过程,验证用户身份后,授予用户访问其对应的“账户”及其所有内容权限。
PS:常说的“我的账号被盗了”,通常指的是“账号(用户名/密码)”被盗,导致“账户”被他人非法访问和控制。
账号账户的关系:账号是账户的一部分,是访问账户的入口凭证。一个账户必须至少关联一个有效的账号;但一个账户可以绑定多个账户(也叫登录方式)即账户与账号的关系是1对多的关系,例如,同一个账户可以同时支持用“账户名+密码、手机号+密码、手机号+验证码、邮箱+验证码、三方账号等多种登录方式,无论通过哪个账号登录,最终访问的都是同一个”账户“下的数据和权限;
本文由 @PMSPIRE 原创发布于人人都是产品经理。未经作者许可,禁止转载
题图来自Unsplash,基于CC0协议