账号体系与账户体系关系图、功能清单及核心逻辑

账号与账户，看似只是系统设计中的术语之争，却往往隐藏着产品逻辑的分野与用户体验的关键节点。从概念厘清到功能清单，再到一张关系图的思维落点，本文试图还原账号体系与账户体系之间的结构关系与核心驱动，为产品设计者提供可落地的思路与模型参考。

一、账号与账户的关系、涉及的功能点

如果只是 浅层次的理解，可能只能看到以下简单的关系链路，如下图：

要深度理解，账号与账户的区别，才能结合业务诉求，深度构建相对完整的账号体系和账户体系蓝图。首先，我们来看账户与账号的区别点如下：

账号账户体系发展至今，已经形成2大体系：账号体系+账户体系

1. 账号体系（钥匙）：登录、三方登录、单点登录、切换账号、退出登录、修改手机号、修改登录密码、忘记登录密码、账号绑定解绑、账号合并、账号冻结/解冻、设备管理（部分）、账号日志（部分）
2. 账户体系（容器）：用户信息修改、支付密码管理、实名认证、注销账户、账户冻结/解冻、母子账户、账户合并、隐私协议、消息通知
3. 双体系：注册（同时涉及账号和账户的创建） – 设备管理和账号日志可能涉及双体系，但主要归属账户体系（因为设备管理是管理哪些设备（钥匙）可以访问容器，日志记录的是对容器的访问和操作）

总结：健全的账号账户体系深度结合风控系统，才能完美实现打牢系统根基的同时又能规避业务风险和系统风险。因此，对于一个产品而言，系统的学习和梳理账号账户体系，是很有必要的一个过程，它是产品经理基本功的体现。比如抛出几个疑问，看看大家如何思考破局方案？

1、用户注册流程中，是先走风控系统检测，还是先走后台系统业务规则校验？这个是关于系统设计顺序的实用问题。两种方式的优劣，以及最优方案是什么？

2、为什么自己新买的手机号注册一款新的APP时，竟然出现历史业务数据和用户资产？出现这种场景，对于产品经理来说，如何从系统设计层面避免这种情况？如果无法避免，如何做好用户的资产安全防护？这涉及到手机号回收机制、系统设计缺陷和安全防护等多个方面。

3、关于做一款APP的手机号一键授权登录，请问一键授权本机号码的取号原理和规则是什么？这涉及到一键登录注册的各种异常处理，产品需要知晓并提出合理化的建议和解决方案。比如：有的用户手机中拥有双卡双号，怎么取号？这就涉及设备ID绑定关系的确定、SIM卡变更检测，可能触及风控系统；也可能出现APP向运营商取不到号码掩码的情况，又该如何处理？

4、你做产品经理后，是否遇到一些用户需要修改手机号，但是手机号已经没使用，账户上还有余额资产，结果用户又把新的手机号注册了。作为产品经理，你是如何出具方案解决此类问题的？

5、你做产品经理后，是否遇到过前人挖的坑。由于前期产品设计中的账号账户体系以及风控安全体系不够完整，就没做找回账号账户的功能设计。当你入职后，leader第一个任务就是让你做找回账号账户功能。首先你调研后发现用户既没有做实名认证，也没有做生物认证。直接用短信验证码找回账户的话，又担心出现手机号已经二次回收场景。如果你在这样的一家公司任职产品负责人，且历史付费会员已经数百万，储值余额剩余数千万，这样的烂摊子，你该如何破局？

6、你做产品经理后，是否遇到过恶意注册、机器人攻击、短信/邮箱轰炸漏洞、黑产自动化工具，那么你是如何与技术团队沟通，做好风险识别和业务风险规避的？

二、名词解释：登录、注册、账号、账户

1、注册的定义 (Sign Up / Register)：注册是帮助用户创建账户的过程。它的流程是：

• 用户提供创建账号所需的信息（通常是用户名/邮箱/手机号，以及密码）
• 系统验证信息的有效性（如用户名/邮箱/手机号是否存在/有效/可用、格式是否正确、密码安全强度是否足够）
• 系统验证信息通过，将在数据库中创建一个新的账户记录。
• 系统将用户提供的账号信息（用户名/邮箱/手机号+密码）作为该账户的第一个有效登录凭证存储下来；
• 通常注册过程中，有些系统还会引导用户完善一些基础的账户信息（如姓名、昵称、性别、偏好等）注册的核心作用：注册过程建立了账号（登录凭证）与账户（数据容器）的绑定关系。

2、登录的定义(Log In / Sign In)：登录是用户通过账号（登录凭证）向系统证明身份，从而向系统获得访问其账户权限的过程。它的流程是：

• 用户输入账号信息（手机号+验证码、用户名+密码等各种登录方式），向系统发起请验证请求；
• 系统去数据库中查找该账号信息。
• 系统验证用户提供的登录凭证（如手机号与验证码是否匹配、用户名与密码是否匹配）；
• 系统验证成功后，系统建立用户会话（例如生成并返回一个认证令牌如Cookie或者Token），标记该用户已通过身份验证。
• 用户获得访问和操作其账户的权限。

登录的核心作用：登录过程其实是验证用户提供凭证是否有效的过程，登录是使用账户的钥匙。用户身份验证通过后，才有权限进入系统去查看和操作他自己的用户信息及资产。登录功能是验证用户身份的核心机制，确保访问权限。

3、账户的定义(Account)：账户是储存用户信息（包括注册信息、权限、操作记录等）的系统档案或数据记录。账号是根基，一个实体用户在一个系统中通常只有一个主账户（尽管可能有子账户或者多角色账户的概念，如你在银行有贷款账户、存款账户）它包含了与该用户相关的所有信息，通常包括：

• 唯一标识符：用户ID或者UserID或UID，通常是系统内部生成的一个数字或者字符串；
• 核心凭证：账号信息（用户名、邮箱、手机号）和对应的密码（密码通常是要加密储存的）。核心凭证管理也叫账号管理，用户可以在其账户设置中管理关联的账号，例如添加新增登录方式（绑定手机、绑定微信、支付宝）、修改账号的密码、删除旧的登录方式等；
• 用户资料：昵称、头像、性别、生日等信息；
• 用户资产：余额、积分、卡券等；
• 关联数据：用户的操作历史、业务数据、订单记录、收藏夹、好友列表、权限设置、会员等级、设置偏好、标签、用户画像等；
• 安全信息：二次验证设置、登录设备记录、安全问题答案、实名认证等；

4、账号的定义 (Account Identifier / Login Name)：账号是用身份的唯一识别，是用于登录到用户账户的凭证标识。它直接给用户的呈现形式如会员号卡号、银行卡号；账号功能是唯一标识用户身份，它关联登录凭证与系统权限。从系统维度，完整的账号内容包括：

• 用户名：用户自定义或者系统分配的唯一名称，如张三/user001（发展至今，此字段并非必要)；
• 邮箱/手机号：更常用做登录名，因为他们通常全局唯一且方面用户记忆。
• 密码：与上述的用户名/邮箱/手机号配对的秘密字符串，用于验证用户身份。一些网站经常为了密码安全性，不允许连续的数字/重复的数字/不能涵盖自己的手机号生日等要求，甚至要求必须涵盖“数字、大小写字母、特殊字符，且有最低最高长度要求，这就完全不放面用户记忆）、
• 账号的核心作用：它的核心功能就是用于“登录”过程，验证用户身份后，授予用户访问其对应的“账户”及其所有内容权限。

PS:常说的“我的账号被盗了”，通常指的是“账号（用户名/密码）”被盗，导致“账户”被他人非法访问和控制。

账号账户的关系：账号是账户的一部分，是访问账户的入口凭证。一个账户必须至少关联一个有效的账号；但一个账户可以绑定多个账户（也叫登录方式）即账户与账号的关系是1对多的关系，例如，同一个账户可以同时支持用“账户名+密码、手机号+密码、手机号+验证码、邮箱+验证码、三方账号等多种登录方式，无论通过哪个账号登录，最终访问的都是同一个”账户“下的数据和权限；

本文由 @PMSPIRE 原创发布于人人都是产品经理。未经作者许可，禁止转载

题图来自Unsplash，基于CC0协议