來源：juejin.im/post/5d197adff265da1bb31c4fa9

賬號、密碼登陸

使用賬號加密碼是最傳統(tǒng)的登錄方式，可以說是簡單粗暴的，一般也不會出現(xiàn)什么問題。

缺點

但這種方式要求用戶要記住自己的賬號和密碼，也就是有一個記憶成本。用戶為了降低記憶成本，很可能會在不同平臺使用同一套賬號密碼。從安全角度考慮，一旦某個平臺的賬號密碼泄露了，會連累到該用戶使用的其他平臺。

另外，由于賬號和個人身份無關，意味著同一個用戶可以注冊多個不同的賬號，也就是可能會有惡意注冊的情況發(fā)生。

為解決這兩個問題，理想的情況就是使用一個和用戶身份強關聯(lián)的東西來作為賬號。但用什么呢？總不能拿身份證做賬號吧。

這個問題一直沒有一個好的回答，直到手機卡強制實名制。

手機號、驗證碼登陸

從手機卡實名制開始，手機號已經(jīng)成為我們的另一個身份證明。

使用手機號加驗證碼的登錄方式目前已經(jīng)成為主流，和輸入賬號密碼相比，它可以更好的驗證用戶身份，可以防止惡意注冊，用戶不用再去記自己的賬號密碼，增加了安全性。現(xiàn)在用戶也習慣并接受了這種登錄方式。

現(xiàn)在很多產(chǎn)品還把登錄和注冊的流程進行了結(jié)合，如果登錄時服務器發(fā)現(xiàn)手機號還未注冊，會直接用這個手機號注冊好再進行登錄，注冊過程對用戶是無感的，極大簡化了注冊流程。

缺點

這種登錄方式需要進行一系列的操作：輸入手機號、等待驗證碼短信、輸入驗證碼、點擊登錄。這整個流程走完可能需要 20 秒以上，操作也比較繁瑣。并且它是依賴短信網(wǎng)絡的，因為如果收不到短信，也就登錄不了了。這些問題可能造成一部分用戶在注冊階段就流失了。

從安全角度考慮，還存在驗證碼泄漏的風險。如果有人知道了你的手機號，并且竊取到了驗證碼，那他也能登錄你的賬號了。

但回過頭來想一下，為什么我們需要驗證碼？驗證碼的作用就是確定這個手機號是你的，那除了使用短信，是否還有別的方式對手機號進行認證？

本機號碼認證

如果能獲取到當前使用的手機號，就能對用戶輸入的號碼進行驗證了。但出于安全考慮，客戶端是無法直接獲取到手機號的，運營商則可以通過 sim 卡數(shù)據(jù)查詢到。

現(xiàn)在運營商已經(jīng)開放了相關的能力，現(xiàn)在我們可以在用戶輸入手機號后，通過調(diào)用運營商的接口，判斷用戶輸入的手機號是否和本地號碼一致。這樣一來，用戶就省去了等待驗證碼短信、輸入驗證碼的過程，也不受短信網(wǎng)絡的限制，簡化了登錄流程。

但再進一步想，如果運營商可以把當前的號碼直接返回給我們，而不只是用于驗證，那用戶連手機號都不需要填了。

于是，就有了今天的主角一鍵登錄。

一鍵登錄

獲取到當前手機使用的手機卡號，直接使用這個號碼進行登錄，這就是一鍵登錄。

這種登錄方式的好處是顯而易見的。它可以更方便、快捷地完成注冊、登錄流程，將原本可能需要 20 秒的流程，縮短到了 2 秒左右，很大程度上降低了登錄環(huán)節(jié)的用戶流失。

一鍵登錄能不能做，取決于運營商是否開放相關服務，這也是為什么過去沒有一鍵登錄，直到最近三大運營商都有了自己的開放平臺：

• 移動 - 互聯(lián)網(wǎng)能力開放平臺
• 電信 - 天翼賬號開放平臺
• 聯(lián)通 - WO+ 開放平臺

要使用一鍵登錄，需要接入運營商的 SDK，三大運營商使用了同一套授權流程：

主要步驟如下：

1. SDK 初始化

調(diào)用 SDK 的初始化方法，傳入項目在平臺上的 AppKey 和 AppSecret。

1. 喚起授權頁

調(diào)用 SDK 喚起授權接口。SDK 會先向運營商發(fā)起獲取手機號掩碼的請求，請求成功后跳轉(zhuǎn)到授權頁。授權頁會顯示手機號掩碼以及運營商協(xié)議給用戶確認。

1. 同意授權并登錄

用戶同意相關協(xié)議，點擊授權頁面的登錄按鈕，SDK 會請求本次取號的 token，請求成功后將 token 返回給客戶端。

1. 取號

將獲取到的 token 發(fā)送到我們自己的服務器，由服務器攜帶 token 調(diào)用運營商一鍵登錄的接口，調(diào)用成功就返回手機號碼了。服務器用手機號進行登錄或注冊操作，返回操作結(jié)果給客戶端，完成一鍵登錄。

這里需要把授權頁拎出來講一下，它一般長這樣：

授權頁是 SDK 里定義的頁面，以安卓為例，接入 SDK 后我們需要在 AndroidManifest 里注冊好這個頁面。我們不能也不應該跳過授權頁面，未經(jīng)用戶允許就獲取用戶手機號。

由于授權頁是第三方的頁面，我們無法自由修改頁面樣式，但 SDK 里提供了足夠豐富的接口給我們自定義樣式。

前面說到，在授權頁顯示之前需要先請求到手機號掩碼，用于在授權頁展示。為了增加授權頁的跳轉(zhuǎn)速度，減少用戶等待的時間，通常 SDK 會提供一個預取號的接口給我們，這個接口取的就是手機號掩碼。我們可以在打開 APP 的時候就調(diào)用這個接口，在已經(jīng)取得掩碼的情況下，用戶點擊跳轉(zhuǎn)授權頁面就不需要再等待了。算是對用戶體驗的一個小優(yōu)化。

在認證過程中，會把網(wǎng)絡切換為移動蜂窩網(wǎng)絡，目前支持的制式有中國移動 2G/3G/4G、中國聯(lián)通 3G/4G、中國電信 4G。當然最好是使用 4G，使用 2G、3G 會降低認證的成功率。

在沒有插電話卡，或者關閉移動蜂窩網(wǎng)絡的情況下，是無法完成認證的。所以就算接入了一鍵登錄，我們也要兼容傳統(tǒng)的登錄方式，允許用戶在認證失敗的情況下，手動輸入手機號登錄。

三家運營商都擁有自己的 SDK，但各自的 SDK 不一定支持別家的認證。這導致目前許多接入了一鍵登錄的產(chǎn)品，只支持某一個運營商。

如果要兼容三大運營商，就需要分別接入三個 SDK。現(xiàn)在我們也有更簡單的方法，就是接入一個整合了三大運營商認證能力的第三方 SDK，目前主要有以下幾家：

• 阿里 - 號碼認證服務
• 極光 - 極光認證
• mob - 秒驗

原理和使用方法基本都是一樣的，具體大家可以查看它們的文檔。

講一下我們比較關心的價格問題，我了解了運營商和上面提到那幾家的計價，認證一次的價格集中在 4 到 6 分錢不等，其中最便宜的是 mob 的秒驗。但價格可能會變化，這里就不具體討論了。

一般是成功置換到手機號算一次計費，調(diào)用預取號接口和認證失敗，都是不計費的。

總的來說，一鍵登錄和發(fā)送驗證短信的價格差不多。發(fā)送短信是發(fā)送一條就計費一次，但用戶存在需要多次獲取驗證碼才能登錄成功的情況。而一鍵登錄能置換到手機號，基本就意味著登錄成功了。所以從次數(shù)上考慮，接入一鍵登錄應該還能稍微省一點。

目前，一鍵登錄處于剛起步的階段，運營商的認證服務還需要改進，對于用戶也還有一個被接受的過程。

但毫無疑問，一鍵登錄將會成為未來的主流登陸方式之一。

下方二維碼關注我

技術草根，堅持分享?編程，算法，架構(gòu)