暂时只想到这些,不要相信我。我是个挖坑让程序员跳的产品狗。
设计验证码的目的是为了验证是机器还是人为,也用于校验是否本人操作。早前验证码有发邮箱,但现在注册体系一般以手机号做主体,所以主流还是发手机短信验证码。
1. 短验设计
短验内容:【短信签名】XXXX,#文本,发送场景,短验编号,危险提示#。如:【APP名字】1234,支付验证码编号15,请勿给他人,谨防受骗。
(1)一般把短信签名放在签名,用于标记该短信是哪个产品发出,如果用户短时间内操作多个产品的发短验行为加上发送短验有延迟问题,短信签名放在签名,能让人一眼辨认出短验隶属方,以防搞错。当然放后面也是常见做法,区别不大。
(2)短验长度一般为4或6个随机数字。至于为什么是4/6,是从系统安全性和人瞬间记忆综合考量,机器遍历4位验证码要10^4次,遍历6位验证码要10^6次,普通机器遍历耗时起码几分钟。4/6长度对于人的瞬间记忆来讲,体验较好,再长记忆就有点吃力了。
(3)考虑到短验发送有网络堵塞等原因,用户迟迟未收到,会短时间内多次获取,所以一般设置验证码有效期,在有效期内且短验未失效时,短验内容一致,防止用户已获取多次,但收到之前短验,校验失败。如用户第一次获取验证码(1234),网络延迟用户第二次获取验证码(5678)后收到短验1234,校验失败。一般做法是第二次短验仍是1234,那么即使发送延迟,也能校验成功。这种做法适用于不需要太严谨的场景。
对于一些获取一次就要重新生成短验的做法,可参考银行做法,在发送短验界面和短信内容写明短验编号,如下图。
(4)运营商/合作商及有些敏感时期,对短信文案有要求,一些文案是不能发送的,所以建议确定短信文案后跟运营商/合作商报备下,之前跟某甲方爸爸合作时就要求在短验后面加上诈骗提醒。提一句:短信文本超过70个字(符?)在一些手机上会分成2条短信发送,文案最好能简洁至上。
(5)有些不谋好意人会故意频繁请求获取短验,影响正常用户操作,来敲诈。所以一般会对同一IP,同一手机号等在某段时间做发送次数限制;如限制同一手机号24h内最多获取短验10次,超过次数提示24h后再试;
(6)价格:按照之前公司发送体量,对接的几家渠道商,通知类短信价格一般到0.02-0.04元左右,营销类短信价格在0.03-0.04元,爸爸级别的合作商要收0.1+元。
2. 交互设计
以注册验证码为例,别的场景大同小异;
一般注册页面的手机号和验证码在同一界面显示,如下图1。
注意点:
1. 焦点在手机号和验证码输入框内,自动唤起数字键,支持切换键盘(题外话:我这种懒人把卡号,手机号等存成常用语,支持切换键盘可直接粘贴,不用一字字输);
2. 输入框支持一键删除;
3. 校验手机号长度,长度=11位数字时,获取验证码按钮才点亮;
4. 纯数字输入框,不支持输入数字外字符;
5. 获取验证码后给予延迟提醒;
6. 在获取验证码请求成功后,将手机号置灰,不可修改;
7. 页面必填项有空值时,登录按钮置灰;
8. 输入框不要禁用粘贴功能,支持用户粘贴不用一个个输入数字;
9. 输入框有默认提示文案;(这个特别适用于千奇百怪的密码要求,有些网站密码不支持特殊字符,错误提示还不写明原因,可以用默认文案告知设置要求)
10. 若同一手机号短时间内获取次数超过阈值,可增加难度,如增加图文验证码,图文校验通过后才能获取短验;
有时注册项太多和增加频繁获取验证码的难度(输入手机号和获取短验是2个页面,多1个页面就多个难度但治标不治本)会设计成分页,如下图2;
多页设计也适用输入项太多的场景,一来容错率高防止错一项,所有输入框重填;二来输入项太多,没有操作欲望;(如果非要一页显示,希望输入框失去焦点时能自动入库,用户下次进入页面能回显)
多页设计注意点:
1. 输入正确格式的手机号后,自动获取验证码,无需再让用户操作;
2. 验证码获取页显示手机号,可方便用户检查是否填错;
3. 若分多页,告知共有几页,当前在第一页,如第一页,第二页,第三页...;
3. 短验的发送逻辑
1. 我们直接跟渠道商对接:我们告诉渠道商要给某手机号发短验,渠道商告诉运营商,运营商发短信到用户手机,如路径1;
2. 我们跟合作商对接:我们告诉合作商要给某手机号发短验,合作商在告诉渠道商-->运营商-->手机,如路径2;
合作商和“我们的产品”的关系可理解成集团和子公司的关系。一来集团体量大议价权强,由集团和渠道商合作可谈下更低更好的价格/服务;二来若集团有多个子公司要和渠道商合作,每个子公司都要对接流程麻烦,一般合作是:集团谈合作,子公司适用。注:验证码的生成规则:我方生成或合作商/渠道商生成,并不是短验都是自己程序生成的。
4. 对账
以路径1为例,我们告诉渠道商要给10个手机号发短验,渠道商会立即(同步)反馈我们收到要发10条的要求【接收请求成功】,10s后(异步)告诉我们他已经通知运营商要发8条短信了,20s后运营商告诉渠道商,渠道商告诉我们5条短信已发送到手机【发送短信成功】。
所以核对发送数量时要明确核对的是发送请求成功数量,还是发送短信成功数量;
一般我们说短信发送成功,是指我们告诉合作商/渠道商要发短信成功,并不代表用户收取验证码成功。因为短验发送路径较长,每一步出错都会导致用户收不到,并不是收不到短信,就是有bug。
5.短信死活收不到的原因及解决方案
1. 手机欠费,停机(用户自行检查);
2. 被拦截软件拦截了(在拦截短信里找);
3. 信号不好(换个信号好点的地方/手机呗);
4. 运营商黑名单(找渠道商或运营商核实后解除黑名单);
5. 手机问题(换个手机试试);
6. 遇见鬼了(找程序员解决);
7. 其他忘了,想起来再加;
6.腹黑谣言时刻
有时短验被频繁获取,可能是坏坏的渠道商在冲量。
短信成本可高可低,回扣水分很大。