1   引言

作为一个互联网产品，用户量的增长是一个非常重要的衡量指标。 这是一个集合了销售，市场，运营，技术的综合能力。 本文将以非技术部分为引子，然后落地为技术方案，来针对 用户增长 的目标来进行产品设计。

2   身份认证技术

互联网产品实现用户增长，最开始部分就是来自于市场和运营人员的工作。

用户增长的 非技术 工作有：

1. 销售地推带来早期标杆用户
2. 运营人员活动推广带来网络用户
3. 市场人员PR和其它市场活动的企业宣传带来用户

这部分非技术的工作落实到技术部分，就需要如下几大系统做好支撑：

1. 用户自助注册系统
2. 用户互相邀请系统
3. 渠道推广邀请系统

无论是哪种技术方式，最后都会回归到一个很朴实地技术问题上面：“用户的身份认证”。

目前对用户的身份认证最基本的方法分为如下三种：

1. 基于信息秘密

   根据你所知道的信息来证明你的身份（what you know，你知道什么）， 比如：自己的人生经历相关问答，还有账号名和密码

2. 基于信任物体

   根据你所拥有的东西来证明你的身份（what you have，你拥有什么）， 比如：手机和U盾

3. 基于生物特征

   根据独一无二的身体特征来证明你的身份（what you are，你是谁）， 比如：指纹，虹膜，面部特征

以上三种方法中， 基于 信息秘密 和基于 生物特征 分别由于使用成本和认证成本的关系， 没有成为当今的主流，所以本文在内容安排上将重点讲目前使用最广泛的 基于信任物体 的认证方式。

3   基于信息秘密

基于信息秘密是传统身份认证主要实现方法有两种：

1. 基于账号和密码
2. 基于用户常见问题的问答

其中第1条，是在传统的用户注册时身份认证最常用的方式，具有低成本和低平台依赖性的特点。

在一些安全要求更严格的场景，则会启用 “常见问题的问答”，比如：

1. 你高中班主任的名字是？
2. 你毕业后的第一份工作是？
3. 你爸爸的名字是？

最后的效果是：

• 这些问题越隐私，安全级别越高
• 这些问题的答案越出乎意料，安全级别越高

但是这样的副作用也特别明显： 可能最后用户自己也不记得自己设置的是什么回答了， 其实这些问题本质上还是设置的密码。

• 问题 对应 用户名
• 答案 对应 密码

此方法的特点：

1. 具有较高隐秘性
2. 单次认证使用门槛高

4   基于生物特征

目前普通网络用户能接触到的常见的基于生物特征的认证有：

• 智能手机对用户的指纹认证
• 互联网银行进行面部识别认证

在一些军工或者金融系统里面，更高级的生物特征认证有：

• 基于眼球虹膜的认证
• 基于掌纹的特征提取
• 基于脉搏的特征提取

这些都会涉及到更高级的传感器或者更高级的软件算法，基于成本的问题，一般级别的信息系统都没有采用。

5   基于信任物体

目前的一些广义的 auth2.0 的方案基本上都可以归纳为此类。

此方法的特点是：认证方式可以完全抛弃密码了。

关于 基于信任的物体 可以借用去年热播的电视剧 《琅琊榜》 里面的一个桥段来解释：

“朝堂上要争论 ‘有罪的太子母亲’ 是否有资格参加皇室大型祭祀活动的问题， 隐居山里的 周玄清 先生是这个学术领域的泰斗， 但是一般人都无法请他出山， 但是梅长苏则通过他已故的师傅黎崇先生（和周先生是旧时挚友）的信物--玉蝉， 将周老先生请出山，在朝堂辩论中取得胜利”

转化为当下信息系统的身份认证的语言就是：

1. 梅长苏想要拥有使用周玄清先生技能的权限

   希望利用周玄清先生的能力去取得辩论的胜利。

2. 周玄清先生根本就不认识梅长苏

   梅长苏面貌已经完全变了，一般的旧人完全认不出来。 当然像蒙大统领和霓凰郡主这样能够深度学习， 从多个维度提取特征，并最终认出易容后的男主，这个设定有点BUG。

3. 周玄清信任旧时挚友黎崇

4. 梅长苏拥有黎崇的贴身信物--玉蝉

   拥有玉蝉，基本上就等于和黎崇先生有非同寻常的关系

5. 虽然黎崇已仙逝，但周玄清见到信物后就立刻答应出山帮忙

   周玄清可以在不需要黎崇亲自出面的情况下，见信物就“授权”给梅长苏

6. 周先生在朝堂上帮助取得辩论胜利

   梅长苏在取得授权的情况下，享受到了周先生的服务

在当今现实生活中 信任物体 有如下几种表现形式：

1. 用户拥有查看自己手机短信权限
2. 用户拥有接听自己手机电话的权限
3. 用户拥有查看自己电子邮箱的权限
4. 用户拥有查看自己的app（微信/微博/支付宝）的权限

其实的解释就是：

本系统 信任 某个平台或者设备， 用户如果能够出具你在那个平台上有账号或者设备使用权限的证明， 那么此用户就可以成为本系统的用户而直接进入本系统。

能够利用好目前已经有的一些可信平台，或者可信设备，可以天然导流并沉淀用户到自己的系统中。

这些平台或者设备要有如下前提条件：

1. 有自己的账号体系
2. 具备信息接收能力

目前符号这样条件的基础账号有：

1. 手机通话
2. 手机短信
3. 电子邮箱
4. app（如：微信）

这几种认证方式都是基于 "我拥有" 的原则来进行身份唯一性鉴定的。

传递信息的主流手段有如下几种：

1. 数字验证码
2. 带token的url
3. 二维码

然后和接收账号进行组合，得到如下的验证矩阵表：

备注： Y 表示存在此方法；N 表示不存在此方法。

接下来的内容将针对此部分的认证方式进行详细分析和展开。

6   本文总结

本文从“用户快速增长”的 产品及运营目标 出发， 引出了“如何在技术上实现对用户进行快速身份认证以减少用户使用本系统门槛”的问题。 然后针对目前主流的一些认证技术和具体实践中常见的认证实现方式进行了分析， 并针对目前最常见的 基于信任物体 的几种具体认证方法进行了量化分析和评级。

最终的结论是： 微信的扫码和app调用是最值得推荐的认证方式。

希望本文的 分析过程及分析结果 能够对大家在进行产品设计和技术选型时有所启发。

7   本文展望

本文主要解决在“利用现有的基础信息平台设施”的条件下信息系统关于用户的两个问题：

1. 吸引新用户注册
2. 用户登录认证

但是如果有更多的需求，例如，“对用户进行详细的权限角色限定”则需要开发商自行处理了。

开发商自己开发一个属于自己信息体系的身份认证app， 从手机号码/电子邮箱/微信这些账号体系中完成自身app的 新用户注册和登录功能 ， 然后在app里面进行角色和权限划分。这样可以此app为基础，开发出针对本系统的很多特色的功能出来。

这就有点类似于：微信的注册体系和登录体系是依赖于手机号码和短信的， 但是进入到微信系统后，它做出了扫码登录和调用app登录这样优秀体验的认证方式。

最终如果app的功能足够有特色，也同样是能够把由第三方引入的用户给沉淀下来，最终完全脱离第三方。

app可以作的功能有很多，例如：

• 业务方面

  1. 扫码登录
  2. 扫码审核
  3. 扫码付款
  4. 扫码扣款
  5. 扫码确认

• 安全方面

  1. 进行安全等级划分
  2. 本系统用户征信调查

等等，更多的功能就靠自己的想像力了。