了解如何优化短信动态密码表单并改善用户体验。
要求用户提供通过短信传递的动态密码(动态密码)是确认用户电话号码的常用方法。短信动态密码有以下几种用途:
- 双重身份验证。除了用户名和密码之外,短信动态密码也可用作重要信号,表明帐号归接收短信动态密码的人员所有。
- 电话号码验证。某些服务使用电话号码作为用户的主要标识符。在此类服务中,用户可以输入其电话号码和通过短信收到的动态密码来证明自己的身份。有时,与 PIN 码一起构成双重验证。
- 帐号恢复。当用户失去对其帐号的访问权限时,需要一种方法来恢复帐号。常见的帐号恢复方法包括向用户注册的电子邮件地址发送电子邮件,或向电话号码发送短信动态密码。
- 付款确认:在付款系统中,某些银行或信用卡发卡机构会出于安全原因要求付款人进行额外的身份验证。短信动态密码通常就用于该用途。
这篇博文将介绍为上述用例构建短信动态密码表单的最佳实践。
核对清单
要利用短信动态密码提供最佳用户体验,请按以下步骤操作:
- 结合使用
<input>元素与:type="text"inputmode="numeric"autocomplete="one-time-code"
- 使用
@BOUND_DOMAIN #OTP_CODE作为动态密码短信的最后一行。 - 使用 WebOTP API。
使用 <input> 元素
使用包含 <input> 元素的表单是您可以遵循的最重要的最佳实践,因为它适用于所有浏览器。即使此博文中的其他建议在某些浏览器中不起作用,用户仍然可以手动输入并提交动态密码。
<form action="/verify-otp" method="POST">
<input type="text"
inputmode="numeric"
autocomplete="one-time-code"
pattern="\d{6}"
required>
</form>
下面介绍了几条建议,可帮助确保输入字段充分利用浏览器功能。
type="text"
由于动态密码通常是 5 位或 6 位数字,因此对输入字段使用 type="number" 看起来可能很直观,因为它会将移动设备键盘更改为仅包含数字。不建议这样做,因为浏览器要求输入字段是可数而非多个数字序列,这可能会导致意外行为。使用 type="number" 会使输入字段旁边显示向上和向下按钮;按这些按钮会使数字增大或减小,并且可能会移除前面的零。
请改用 type="text"。这不会仅将移动设备键盘转换为数字,但这没关系,因为有关使用 inputmode="numeric" 的下一条提示就是这样做的。
inputmode="numeric"
使用 inputmode="numeric" 将移动设备键盘更改为仅限数字。
某些网站会为动态密码输入字段使用 type="tel",因为它还会使手机键盘在处于聚焦状态时仅显示数字(包括 * 和 #)。过去在 inputmode="numeric" 没有得到广泛支持时,就使用过这种黑客手段。由于 Firefox 开始支持 inputmode="numeric",因此无需使用语义不正确的 type="tel" 技巧。
autocomplete="one-time-code"
autocomplete 属性可让开发者指定浏览器必须提供哪些权限来提供自动补全辅助功能,并告知浏览器字段中预期包含的信息类型。
借助 autocomplete="one-time-code",每当用户在表单处于打开状态时收到短信时,操作系统都会启发式地解析短信中的动态密码,并且键盘将建议用户输入的动态密码。它仅适用于 iOS、iPadOS 和 macOS 上的 Safari 12 及更高版本,但我们强烈建议您使用它,因为这是一种改善短信动态密码在这些平台上的便捷方式。
autocomplete="one-time-code" 可以改善用户体验,但您还可以采取其他措施,即确保短信符合源站绑定的消息格式。
设置短信文字的格式
通过与通过短信传送的与源站绑定的一次性验证码规范保持一致,提升输入动态密码的用户体验。
格式规则很简单:完成短信的接收者域名需以 @ 开头,动态密码要以 # 开头。
例如:
Your OTP is 123456
@web-otp.glitch.me #123456
如果使用标准格式的动态密码,则可以更轻松、更可靠地从动态密码中提取代码。将动态密码与网站相关联可更加难以诱骗用户提供向恶意网站提供代码。
使用这种格式有以下好处:
- 动态密码将与网域绑定。如果用户所在的网域不是短信中指定的网域,则系统不会显示动态密码建议。这也有助于降低钓鱼式攻击和潜在的帐号盗用风险。
- 现在,浏览器能够可靠地提取动态密码,而不依赖于神秘、不稳定的启发式方法。
当网站使用 autocomplete="one-time-code" 时,搭载 iOS 14 或更高版本的 Safari 会根据上述规则建议动态密码。
除 Safari 外,此短信格式也同样适用于其他浏览器。Android 上的 Chrome、Opera 和 Vivaldi 还支持使用 WebOTP API 与源站绑定的一次性代码规则,但并非通过 autocomplete="one-time-code" 进行。
使用 WebOTP API
WebOTP API 可让您访问短信中收到的动态密码。通过使用 otp 类型 (OTPCredential)(transport 包含 sms)调用 navigator.credentials.get(),网站会等待用户发送符合源站绑定的一次性代码并授予其访问权限的短信。将动态密码传递给 JavaScript 后,网站便可在表单中使用该密码,或将其直接 POST 到服务器。
navigator.credentials.get({
otp: {transport:['sms']}
})
.then(otp => input.value = otp.code);
如需详细了解如何使用 WebOTP API,请参阅使用 WebOTP API 在网页上验证电话号码,或复制并粘贴以下代码段。(请确保 <form> 元素正确设置了 action 和 method 属性。)
// Feature detection
if ('OTPCredential' in window) {
window.addEventListener('DOMContentLoaded', e => {
const input = document.querySelector('input[autocomplete="one-time-code"]');
if (!input) return;
// Cancel the WebOTP API if the form is submitted manually.
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
// Cancel the WebOTP API.
ac.abort();
});
}
// Invoke the WebOTP API
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
// Automatically submit the form when an OTP is obtained.
if (form) form.submit();
}).catch(err => {
console.log(err);
});
});
}
照片由 Jason Leung 提供,拍摄于 Unsplash 用户。