惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

L
LangChain Blog
阮一峰的网络日志
阮一峰的网络日志
Y
Y Combinator Blog
博客园 - 聂微东
GbyAI
GbyAI
H
Hackread – Cybersecurity News, Data Breaches, AI and More
月光博客
月光博客
T
The Blog of Author Tim Ferriss
爱范儿
爱范儿
宝玉的分享
宝玉的分享
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
雷峰网
雷峰网
MyScale Blog
MyScale Blog
Cloudbric
Cloudbric
T
Threatpost
Scott Helme
Scott Helme
N
News | PayPal Newsroom
Google DeepMind News
Google DeepMind News
Martin Fowler
Martin Fowler
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Engineering at Meta
Engineering at Meta
美团技术团队
Apple Machine Learning Research
Apple Machine Learning Research
V2EX - 技术
V2EX - 技术
罗磊的独立博客
Attack and Defense Labs
Attack and Defense Labs
IT之家
IT之家
S
Secure Thoughts
C
Cyber Attacks, Cyber Crime and Cyber Security
D
Docker
V
V2EX
T
Troy Hunt's Blog
Forbes - Security
Forbes - Security
aimingoo的专栏
aimingoo的专栏
J
Java Code Geeks
Last Week in AI
Last Week in AI
C
CERT Recently Published Vulnerability Notes
T
Tor Project blog
P
Proofpoint News Feed
Recorded Future
Recorded Future
B
Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Simon Willison's Weblog
Simon Willison's Weblog
A
About on SuperTechFans
The GitHub Blog
The GitHub Blog
MongoDB | Blog
MongoDB | Blog
O
OpenAI News
V
Vulnerabilities – Threatpost
P
Privacy International News Feed
云风的 BLOG
云风的 BLOG

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
APP手机号一键登录产品流程设计
三刀 · 2025-07-21 · via 人人都是产品经理

关于APP手机号一键授权登录,虽然已经司空见惯了。但是,不知道有多少产品人可以庖丁解牛一般,深度剖析背后的产品设计原理和逻辑,进而延展到账号账户体系思考和架构。

互联网产品发展至今,很多功能虽然很成熟,但是产品的知识依然难成体系,间接导致现在的产品经理岗位青黄不接,新入不知如何入门,入门要求也极高,老人又逐渐离转行开此岗位。产品经理这个工种很吃经验,几乎都是实战项目喂养出来的,很难通过短时间的培训就可以上岗的。

以前的大环境还分什么前后端产品,前端还分APP端/H5端/PC端产品,后台又分业务/中台/数据/财务等不同产品线,现在的大环境下,中小企业的产品经理,什么端都要干,跨行业干是家常便饭。

因此,系统的总结自己的知识,形成体系,将变得尤为重要,否则,三五几年后,你会发现自己并没有什么提升,除了画图就开会,不在开会的路上就是画图的路上,总觉得自己要被AI干掉,行业级的产品经理或深度某一个领域板块的产品人是很难以被AI干掉的,AI反而会成为这类产品人的提效工具。

最近抒写的账号账户体系以及登录注册流程梳理,是为了总结自己,顺便启发新人,为老人的知识体系进行盲点补充。有不足之处,欢迎点评,帮我完善自我。

N年前,我以为的注册流程

注册流与登录流彻底分开,产品画出流程,做到核心判断即可,如下图所示:

画出这样的流程图,在当时,可以入职干产品助理或者初级产品经理。但是现在这个大环境,这种水平就很难以生存了。

5年前,我以为的登录注册流程

注册流是注册流,登录流融合注册流,登录时发现用户未注册,系统自动注册即可。还面向用户做了多种登录注册方式。

画出这样的流程图,个人认为,在当时已经是中级产品,可以主做某个模块的产品设计,能把功能点和核心判断逻辑梳理出来。

但是现在这个大环境,初级产品人都需要能独立搞定这些(但是,笔者最近几年招到的部分产品,都不爱绘制,甚至不会画,画也画不好流程图、时序图、用例图、功能架构图,流程不闭环、用例不完整、时序断层,拿到需求一顿操作猛如虎,直接画原型,外面搜索一些资料或者照着竞品做就完事)和一些其他公司的朋友聊,都遇到这样的情况,要么产品人没时间总结和学习,只管画出来完成任务;要么就是新进行业没几年的,基本功不扎实。

现在我认为的登录注册流程

基于个人目前的水平,鄙人认为现在的系统完善度、复杂度,就上述的“手机号一键登录”流程都足够单独绘制几个流程(主线流、分支流、异常流)。分享其中部分来示例。

首先是,新研发的APP,针对用户端,第一步就要做系统授权合规流程,其中,一键授权登录必须基于系统授权合规流程的前提下方可进行,即需先完成合规流程后,才能走“一键授权登录”。不合规的APP都无法上架到应用市场中进行分发。

第一步:系统授权合规流程

1、隐私政策/用户协议

1、App首次安装后,本地存储空间(如iOS的NSUserDefaults/Android的SharedPreferences)中不存在“已同意协议”的标志位。此时App判定用户未授权,触发协议弹窗

2、用户点击“同意”后,App会在本地存储一个状态值(如agreement_accepted=true);若用户拒绝或跳过,该状态值不会被设置,后续每次启动时App均需重复检测并弹出协议;

3、未同意协议前,App禁止获取IMEI、ANDROID_ID等设备ID。否则违反“告知-同意”原则(如GDPR、中国《个人信息保护法》)

2、用户决策路径

1、用户同意路径:设置持久化标志位;解锁设备ID获取权限;允许触发系统级权限请求;

2、拒绝路径:保持标准未设置状态;禁用所有需要个人数据的API;每次启动重复检测;

3、合规要求:

1. 禁止在用户阅读协议前获取设备ID/IMEI/Android_ID等标识符 ;

2. 禁止在同意协议前申请非基础权限(网络权限除外) ;

3. 禁止将同意协议与基础功能绑定(如不同意就不能使用浏览功能,即需支持游客模式) ;

合规的底层逻辑是:协议同意是权限申请的前置条件,技术实现上通过`本地标志位+系统API约束`共同保障,任何绕过行为都将面临法律与技术双重制裁。

(在这里,我们产品就知道要让APP合规,需要做哪些产品功能:隐私协议,要支持用户同意或拒绝,拒绝后还能支持游客模式)

4、系统级权限(如存储权限/定位/相机/通讯录/麦克风)

1、若App需调用敏感权限,必须在系统层面声明;

2、但系统权限弹窗仅在用户同意隐私协议后才会触发,避免未告知即收集数据(主流程简述:整个流程是本地状态检测 → 协议弹窗触发 → 用户操作持久化 → 权限按需申请的闭环)

(在这里,我们产品就知道要让APP合规,隐私协议和向用户所要系统级权限必须得分开,且还需知道,系统权限不是一次性索要完毕,必须按需索要)

写到这里你会发现,为什么做一键登录注册前,必须要做合规流程规划和相关功能设计,因为你不能一来就让用户点击登录索要SIM的手机号。

第二步:手机号一键授权登录流程

注明:很多人在绘制登录注册流程图中,忽略了风控系统这个重要的角色,APP手机号一键登录功能中的风控检测机制,其实是一个分阶段、多层级的过程,风控检测贯穿了整个流程,而非一次性完成。

登录流程中不同阶段的风控目标和技术手段各有侧重,因此相当重要!甚至还会忽略三方合作方的SDK,只要涉及系统对接,都可能出现各种异常,这些异常产品都要知晓并出具相应的解决方案。

1、客户端预取号阶段(获取掩码前)

这个阶段发生在用户正式授权之前,属于系统预检测环节,主要进行设备与环境的风险初筛:

  • 设备环境风控检测:在调用运营商SDK的预取号接口(如getPhoneInfo)时,客户端SDK(尤其整合了第三方风控能力的如网易易盾、个推等)会主动检查设备环境是否异常。检测项包括:是否root或越狱、是否安装Xposed框架、是否处于模拟器环境、是否检测到改机工具等作弊行为。
  • 网络与行为风险预判:SDK会分析当前网络IP是否属于黑名单、是否高频切换,并基于设备行为(如密集调用接口)生成初步风险评分(如火山引擎中的设备风险码、IP风险码等)。
  • 输出结果:此阶段不会返回手机号(即使是掩码),但若检测到高风险设备(如模拟器或改机工具),可能直接阻止进入下一步授权流程,或向服务端上报风险标签;

号码掩码(科普)

1、掩码定义:号码掩码≠完整电话号码,掩码会部分隐藏,通常保留前3位后4位,如188****4357;

2、掩码用途:单独的掩码无法关联到特点的人,但组合其他数据可识别是特定的人,如掩码+设备ID+定位;

3、掩码异常:APP非100%能获得掩码,如:

1)运营商能力不可用(运营商故障);

2)用户手机检测到无SIM卡/未开启数据网络等;

3)掩码异常,需降级处理,如走短线验证码或者三方登录;

登录方式,降级处理

降级原因:用户触发登录时,若设备绑定ID关系不对应、SIM卡检测不到或变更了、网络环境发生异常等,为保证用户账号安全,均不允许走“一键登录流程”,需要走手机号+短信验证码,高风险甚至还需走增强认证(如生物认证)。

当前阶段的风控检测如下:

  • 设备ID绑定关系:服务端储存用户的历史登录的设备ID与手机号的绑定关系,新登录时对比当前设备ID是否与账号库中绑定的历史设备ID一致性;
  • SIM卡变更检测:通过SDK获取当前流量卡号码,对比当前SIM卡号与账号绑定号码是否一致(需处理双卡场景),以及无法获取掩码的场景;
  • 网络环境异常(检测VPN代理、跨境IP、高风险基站);

2、用户授权阶段,风控检测

用户点击授权后,此时风控进一步聚焦身份与操作可信度:

  • 授权行为分析:记录用户操作链路(如授权弹窗响应时间、点击位置),结合设备传感器数据(陀螺仪、触摸轨迹)判断是否为真人操作,防范脚本自动授权。
  • 风险关联增强检测:在此阶段激活“四维反欺诈模型”,综合设备、网络、账号历史、当前行为生成动态令牌(token),并植入风险标签(例如风险等级评分0~900)。
  • 掩码与token绑定:掩码手机号与token一同返回客户端,但掩码仅用于界面展示,token则隐含了风控中间结果,供服务端进一步核验

3、业务验证阶段

用户服务端进行业务规则校验,同时触发多维度风控策略联动进行判定。

  • 服务端需验证token有效性:服务端调用运营商接口凭token换取完整手机号时,是风控的核心决策点:服务端需验证token是否被篡改、是否过期,同时解析其中携带的风险标签(如设备风险评分、IP聚集异常标记)
  • 多维度风控策略联动:

1)服务端结合自身风控系统(如规则引擎、机器学习模型)对手机号进行深度校验:检查号码是否在薅羊毛黑名单或二次号库(运营商二次放号风险);分析号码近期行为(如频繁注册/登录多账号/历史行为记录);结合业务场景强化策略(例如支付环节需额外校验本机号码一致性)。

2)若风控判定高风险(如评分≥600),可拒绝登录并触发二次验证(如动画验证码);低风险则放行并返回完整号码

4、分支流程

登录降级流程:用户切换登录方式

一旦主流程因三方合作方出现异常,或者用户本身不支持走此登录方式,则需支持切换登录方式,支持账号密码、短信验证码、第三方登录;

5、异常流程

1)权限拒绝处理:用户拒绝授予手机号权限 → 继续引导授权手机号或者选择其他登录注册方式。

2)运营商能力不可用(运营商故障):检测到无SIM卡/未开启数据网络 → 自动切换为短信验证码为临时主推登录方式。

3)Token验证失败:服务端校验Token无效(过期或被篡改) → 客户端重新获取Token或降级为短信登录。

4)网络异常:请求超时/断网 → 提示“网络异常,请重试”并提供重试按钮。

5)频率限制:同一手机号连续失败N次 → 临时锁定并提示“稍后重试”。

6)多端登录限制:产品设计时,看业务规则是否允许,同一手机号同时在多个端多设备同时登录,若不允许,则最新登录,则需将其他端/设备的踢下线。

7)向运营商请求超时与重试机制超时机制:运营商Token接口调用需设置超时(建议≤3秒);

重试机制限制:单设备每分钟最多重试3次,防止暴力破解。

安全锁与解锁:当日连续失败X次,触发安全锁,24h后解锁;

6、关于本机号码获取规则

回答上一篇文章关于账号账户体系介绍中,提出的问题。

1)获取原理:本机号码一键登录主要依赖于运营商的网关认证能力,通过数据流量获取当前SIM卡的号码。

2)双卡场景:当用户手机中拥有双卡的取号规则

  • 核心规则:流量主卡优先。因一键登录依赖运营商网关通过数据网络取号。因此,系统会自动选择当前正在使用移动数据流量的SIM卡(即当前的“流量主卡”作为取号对象).eg:若卡1开启数据流量,卡2关闭,则优先读取卡1的号码。
  • 双卡均开启流量时:多数手机系统默认选中用户设置的“默认数据卡”(需用户在手机设置中手动指定);但部分机型(如OPPO),若WIFI和数据网络同时开启,首次打开应用可能默认走WiFi通道,导致取号失败,需用户授权数据权限或切换至纯流量环境。
  • WiFi与流量并存时的处理方式:1)支持流量切换的终端:SDK会强制将认证请求切换到数据网络,取号后恢复WiFi链接,过程用户无感知。2)仅开启WiFi无法取号,需降级为短信验证码等备用方案。4、特殊场景与兼容性问题:1)携号转网用户:不影响使用,当前流量卡所属运营商为转网后的运营商。2)虚拟运营商:如阿里宝卡、京东通信等不支持。因虚拟号码不归属三大运营商网关管理。3)缓存机制:取号成功后会缓存临时凭证,允许短时间内无蜂窝网络时复用,但换卡或重启后失效。

本文由 @PMSPIRE 原创发布于人人都是产品经理。未经作者许可,禁止转载

题图来自Unsplash,基于CC0协议