细节：纠正你的网站注册时[验证邮箱]的流程

尹广磊

你通常见到的一个流程大概是这样的：
1. 填写用户名、密码、重复密码、Email、……，提交；
2. 收取邮件，点击激活链接；
3. 进一步完善资料或使用网站。

照上面的流程，请大家思考：
“在邮箱激活链接未得到使用之前，网站就已经将该Email地址与一个用户名和密码绑定了关系，这是否存在问题？”

这当然是存在问题的，就像银行不会还没看你身份证时，就先发一张银行卡和密码给你。
既然要验证邮箱是否有效，就不应该在邮箱未验证成功之前就在该邮箱上绑定上用户名、密码等信息。
正常的流程应该是：用户通过邮箱获得了激活链接，然后填写“用户名”、“密码”等个人信息，提交完成注册。

不然会存在什么问题呢？问题可是不少，可能存在的问题有：（注意只是可能）
1. A填写了B的邮箱，B无法再使用此邮箱注册。
2. A填错了邮箱，不提供更改验证邮箱的话A因为收不到激活邮件无法完成注册。（注意因为前边错误，所以要增加功能补救了，还要提供更改验证邮箱，产品的开发与使用因此而没效率，在《社区产品架构与设计意见指导书》中提到过关于产品效率的问题。）
3. B收到一封别人发错的激活信写到：欢迎您亲爱的A。B莫名其妙的点击了链接，发现已经注册了某网站，但是B自己不知道用户名或者密码。
4. A填错成了B的邮箱，B错给激活了，A照常使用着用户名和密码使用着该网站的功能。整天收到通知邮件的却是B。
5. C随意填写很多的假邮箱占用大量的用户名，导致很多用户名无法再被他人使用。
……发生错误的情况等等，可能还不止这些。

邮箱验证与手机验证其实是一种同理的情况。
我们常常知道手机验证时，让用户先收到短信验证码，验证码通过之后才让用户干他能干的事情。
如果你的网站是只有验证邮箱有效后才能使用的网站的话，也是同理。先收到激活链接，验证有效而后填写密码等资料。
这样一般宽松的验证邮箱的流程就是：
1. 填写经常使用的邮箱，提交，发送验证链接。
2. 收到邮件，点击验证链接。
3. 填写密码等个人资料，完成注册。
为什么说是宽松的验证邮箱流程呢，因为填写邮箱时，你可以填写任何人的Email地址。你可以在此完成自己邮箱的注册，同样可以填写朋友的邮箱邀请朋友注册。（一功能多用，省了再开发一个“邀请朋友”的功能了，赶巧了。）一个宽松验证邮箱流程的产品原型下载（包含Axure RP源文件），向大家提供个参考。

注意：如果是手机验证注册也采用这种宽松的流程的话就可能存在些问题。因为网站向外发送短信验证码也是有成本的，恶意用户要是填写各种号码请求验证会浪费网站的资源，同时对收到短信的用户来说也是一种垃圾短信。宽松的邮箱验证流程也是一样，只是网站向外发送一封Email的成本比较低而已。
严谨一些手机验证注册的流程应该是这样的：
1. 用户向网站服务台号码发送一条申请注册的指令。
2. 网站服务台收到指令，向用户手机回发一条验证码短信。
3. 用户输入验证码，完成注册。

现在很多的网站Email服务器地址已经被不少的邮件运营商视为了垃圾邮件。为了避免在宽松的邮箱验证流程下，用户填写了Email验证请求，但用户要到“垃圾邮件箱”下收到验证邮件，或者根本就收不到验证邮件。建议邮件验证注册也采用像严谨一些的手机验证注册一样。
1. 用户向网站邮件服务器发送一条申请注册的指令邮件。（用户向服务器地址发信后，服务器地址会自动出现在用户的“通讯录”当中，这样服务器回发的邮件不会再被“垃圾邮件拦截”。）
2. 网站邮件服务器收到申请注册的指令，回发一封完成该邮箱注册的链接。
3. 用户点击该加密链接，填写密码等个人信息，完成注册。

以上说的都是只有验证邮箱有效才能使用网站产品的网站，那么有人要问：我要是不验证邮箱也能让用户使用部分功能的网站怎么办？

不验证邮箱也能让用户使用部分功能的网站，那就是先注册后验证的方法。
注册时让用户填写：用户名（登录名，注意因为邮箱还没验证不可用邮箱。）、密码、邮箱以及其它个人信息，完成注册。网站的基本功能用户就可以使了。
用户要是同时填写了邮箱，可以向该邮箱发送邮箱绑定用户名的链接。要是没有填写可以日后在“个人资料”里填写，并点击“绑定邮箱”按钮，发送邮箱绑定用户名链接。但是下面要注意：当先完成注册后绑定邮箱时，在用户点击绑定链接后，到达的页面要再次验证要绑定邮箱的用户身份。也就是让要绑定此邮箱的用户输入自己的用户名及密码。验证无误，方可完成该用户名与该邮箱的绑定。不然A填写了B的邮箱要求绑定，B随便点击了链接，结果A却绑定上了B的邮箱。

firmy

思考的非常详细，称赞一下。

尹广磊

谢了，有好文欢迎到此发布。
:)

imlotus

　　我觉得这是一个流程问题，楼主和网站设计人员对于这个功能，在脑子里其实是两张流程图。从网站的设计角度来说，用户在完成了第一步设定密码、用户名以及填写好邮箱，当他点击“注册”时，这个名字（假定可用）就已经被写进数据库了。只不过这条信息在数据库里可能呈一种特殊的状态（比如被锁定）。而当他在邮箱里点击了激活链接以后，这个ID就被解锁。打个不是特别恰当的比方：我买了套房，我可以占着不住，但这房到底是我的。
　　其实就这个流程楼主的思路应该是更科学合理的，加上有些网站现在根本也把邮箱确认功能做的形同虚设了。但这种会令网站流失用户的东东、，舍得做的人应该不会多吧。网站要的是注册用户数量，至于一个ID增加后具体干了什么，那是后话了。当一只脚已经迈进来了，如果你是老板，你会希望他那另一只脚也赶快迈进来呢？还是眼看着他走掉呢？

尹广磊

其实这是一个把“邮箱绑定”与“通过邮箱激活注册”搞混淆了的问题。

对于需要“通过邮箱激活注册”的网站，自然按我说的上面的流程较为合理严谨。

对于有用户名另外需要“邮箱绑定”的网站，那就是邮箱绑定的问题。何时完成绑定，可以要求用户在注册时就填写邮箱，也可以用户日后在个人资料完成“邮箱绑定”。在用户从邮件中点击绑定链接时，一定要在到达页面验证一次用户名和密码。这样“邮箱绑定”就完成了。

本本

顶了~~~

雷子

2\3\4点参考paypal的注册机制和用户机制
paypal的可更改登录名的功能我认为非常的恰到好处
一方面解决了上面的问题，另一方面也从侧面解决了安全问题（至少客观上解决了）

阿温

其实将EMAIL地址作为注册用户名，更加好。好处多多

一根弦

LZ对于安全性的考虑比较周全，主要解决误填写mail的问题（不管是否刻意）
但步骤及过程过于繁琐，不符合用户的心理模型，还是靠近实现模型了。
用户从前只需要【填写、验证】的操作变成【填写、验证、再填写】，用户交互成本反而增多。

窃以为可以通过再次输入邮箱地址降低误操作，另外在用户没有激活邮箱时，此邮箱地址不影响用户注册

董珊珊

有点绕~~先顶了，回头慢慢琢磨~

徐麒

这个注册非常有意思啊，发送邮件提供的链接才允许输入用户名跟密码注册，但我们是不是要考虑在用户体验上会造成一定的影响，用户习惯的注册模式并不是这个样子的。

qmin1004

很受用~

stick

学习，学习

谭云牛

学习啦,谢谢！

林嘉

同意 9楼和12楼的说法

王青

初来乍道，听的有点迷糊

我爱设计

我是新手
特来顶一下

xxss

楼主考虑得很全面……值得学习啊！
另外，比较同意9楼的看法！

冰风

这个方法，我试过了，但一般领导都是随大流的，目前来说还比较难普及

it1365668

同意9L的说法