访客｜手机号+验证码一体化登录/注册（最短路径）

用户故事描述：作为访客，我想要使用手机号+短信验证码完成登录或注册，以便以最短路径进入应用开始使用。

详细场景描述

• 正常流程
  1. 用户输入手机号，点击“获取验证码”。
  2. 系统进行频控校验与风险校验，通过后下发验证码并提示已发送（对手机号做脱敏展示）。
  3. 用户输入验证码并提交。
  4. 若手机号已存在，则直接登录成功并进入首页。
  5. 若手机号不存在，则自动创建新账户并登录成功，直接进入首页（不额外收集非必要信息）。
• 异常处理
  • 手机号格式不合法：前端与后端均校验并给出明确错误提示。
  • 频控触发：提示稍后再试，倒计时（不暴露具体限额）。
  • 验证码错误/过期：提示错误或过期，可重试；连续失败达到阈值触发图形验证码。
  • 短信通道异常：提示发送失败并允许重试。
  • 命中风控黑名单：中断流程并提示受限（参见“风控黑名单命中提示”故事）。
  • 系统异常：统一错误提示，不泄露内部信息。

验收标准

1. 支持手机号+验证码的认证流程；新用户在验证码验证通过后自动创建账户并直接登录。
2. 验证码请求与验证均受频控策略约束，阈值可配置；触发频控时返回标准错误码与用户可理解的错误文案。
3. 验证码有效期与最大错误次数可配置；错误次数达到阈值后强制出现图形验证码。
4. 手机号在界面与日志中以脱敏形式展示（如部分位数替换为*）。
5. 成功/失败均记录审计日志（事件类型、时间、结果、IP、设备指纹、渠道=短信，不包含明文验证码与明文手机号）。
6. 埋点事件完整：包括验证码申请、验证码验证、登录成功/失败、新用户注册并登录等，包含渠道、失败原因分类等关键属性。
7. 支持多语言文案与可访问性要求（表单标签可读、错误提示可被读屏识别），与全局多语言/无障碍设置协同。
8. 与“登录防爆破”策略协同，不产生冲突（同一账号与同一设备的失败计数合并计入策略评估）。
9. 发生黑名单拦截时，不返回具体规则命中详情，仅提示受限，并记录风控命中事件。
10. 所有短信下发遵循频控与审计要求；不在任何存储或日志中保留明文验证码。

技术备注

• 验证码长度与TTL由配置中心管理。
• 短信通道返回码需标准化映射为用户可理解的错误文案。
• 审计日志与埋点分别进入合规模块与数据分析模块，字段定义一致的匿名ID。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：4/5

访客｜邮箱注册与登录（密码强度校验与弱口令拦截）

用户故事描述：作为访客，我想要使用邮箱+密码注册并登录，以便在无手机号的情况下也能使用应用。

详细场景描述

• 正常流程
  1. 用户输入邮箱与密码进行注册。
  2. 系统进行邮箱格式与密码强度校验，弱口令拦截并提示改进建议。
  3. 注册成功后直接登录进入首页。
  4. 已注册用户输入邮箱与密码登录成功进入首页。
• 异常处理
  • 邮箱格式不合法：前后端校验并提示。
  • 弱口令/密码强度不足：阻断注册，给出明确原因与改进建议文案。
  • 登录密码错误：提示错误，可重试；连续失败计数计入锁定策略并触发图形验证码。
  • 账户被锁定：提示锁定原因与剩余时间。
  • 命中黑名单或风控：中断流程并提示受限（参见相应故事）。
  • 系统异常：统一错误提示。

验收标准

1. 支持邮箱注册、邮箱登录两个闭环流程。
2. 密码强度校验与弱口令拦截可配置，校验逻辑在前后端一致；弱口令示例不在前端明示列表，避免泄露策略。
3. 注册成功后创建账户并登录，无需重复输入。
4. 密码以加盐哈希方式存储，严禁明文存储或可逆加密存储。
5. 登录失败计数与锁定、图形验证码策略生效，阈值可配置。
6. 界面与日志中对邮箱做脱敏处理（如 user****@domain.com）。
7. 审计日志完整记录注册、登录成功/失败与原因；埋点包含注册转化与登录成功率所需字段（渠道=email、失败原因分类）。
8. 多语言与可访问性符合要求（表单label、错误提示关联到输入框；键盘可达）。

技术备注

• 加盐哈希采用安全的单向哈希算法与唯一盐值；密码强度策略由配置中心统一下发。
• 登录失败计数应考虑账号+设备+IP多维度组合，避免单一维度绕过。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：5/5

访客｜第三方账号登录（新用户最短路径注册）

用户故事描述：作为访客，我想用第三方账号一键登录，以便快速进入应用，必要时自动注册。

详细场景描述

• 正常流程
  1. 用户点击第三方登录入口，完成第三方授权。
  2. 系统根据第三方唯一标识查询绑定关系。
  3. 已绑定：直接登录成功进入首页。
  4. 未绑定：以最少信息自动创建新账户并登录成功进入首页。
• 异常处理
  • 授权取消/失败：提示授权失败并允许重试或更换方式。
  • 第三方服务不可用：提示稍后再试。
  • 命中黑名单：终止流程并提示受限。
  • 系统异常：统一错误提示。

验收标准

1. 支持至少一种第三方登录方式，接入的第三方鉴权票据校验安全合规。
2. 未绑定用户在首次登录时自动创建账户并完成登录，无额外表单。
3. 审计日志记录授权开始/结果、第三方来源（脱敏）、登录结果与失败原因。
4. 埋点覆盖入口点击、授权结果、登录成功/失败。
5. 界面与日志不展示第三方返回的敏感个人信息。
6. 与“登录防爆破”“风控黑名单提示”策略兼容。

技术备注

• 存储第三方唯一ID与本地用户ID的绑定关系；不存储第三方的可用于单独登录的敏感令牌。
• 票据校验与回调防重放处理。

优先级评估

• 优先级：紧急（P0）
• 业务价值：4/5
• 技术复杂度：4/5

访客｜登录防爆破（失败次数锁定与图形验证码）

用户故事描述：作为访客，我希望系统在连续失败时启用图形验证码并临时锁定，以便保护账户安全。

详细场景描述

• 正常流程
  • 用户在登录/验证码验证失败次数达到阈值前，流程不受影响。
• 异常处理
  • 达到阈值：下一次尝试前要求完成图形验证码；继续失败则对账号或设备触发临时锁定。
  • 锁定期间：拦截登录尝试并提示剩余锁定时间；可进行找回密码流程。

验收标准

1. 支持失败计数、多级阈值触发图形验证码与临时锁定（阈值可配置）。
2. 图形验证码具备机器识别对抗能力，并支持无障碍替代方案（如可读式验证码或获取新验证码按钮）。
3. 账号被锁定时不影响“找回/重置密码”流程。
4. 审计日志记录失败次数、验证码触发与锁定事件。
5. 埋点记录触发次数与影响率，用于评估误伤与安全收益。

技术备注

• 失败计数按账号+设备+IP多维度聚合，锁定作用域与时长可配置。
• 验证码验证服务需具备高可用与限流保护。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：4/5

访客｜找回/重置密码

用户故事描述：作为访客，我想要通过邮箱或手机号找回并重置密码，以便在忘记密码时恢复访问。

详细场景描述

• 正常流程
  1. 用户输入注册邮箱或手机号，提交找回请求。
  2. 系统进行频控与风险校验后发送对应的重置链接或验证码（脱敏展示目标地址）。
  3. 用户通过链接或验证码进入重置页面，设置新密码并通过强度校验。
  4. 重置成功后可直接登录。
• 异常处理
  • 账户不存在：统一提示已发送（避免撞库），仍记录审计日志。
  • 频控触发：提示稍后再试。
  • 验证码/链接过期或无效：提示失效并允许重新发起。
  • 弱口令：拦截并提示改进建议。
  • 系统异常：统一错误提示。

验收标准

1. 支持手机号与邮箱两种找回方式，均受频控限制。
2. 重置凭证（链接或验证码）具备有效期与一次性使用特性。
3. 新密码以加盐哈希方式存储，符合强度要求。
4. 全流程审计（申请、发送、验证、重置结果），不泄露存在性信息。
5. 文案与UI多语言可用；读屏可读取错误信息与表单标签。
6. 短信/邮件发送受频控与失败重试策略保护，失败原因标准化反馈。

技术备注

• 链接内令牌采用短期有效且不可预测的随机值；所有凭证验证后立即失效。
• 结果页避免透露账号存在性，统一安全文案。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：4/5

访客｜风控黑名单命中提示

用户故事描述：作为访客，我需要在认证受限时获得明确提示，以便了解无法继续的原因并停止无效尝试。

详细场景描述

• 正常流程
  • 不命中黑名单，流程不受影响。
• 异常处理
  1. 在验证码发送、登录、注册等关键节点命中黑名单。
  2. 系统中断流程，展示“出于安全原因，当前操作受限”的提示（不暴露具体命中规则）。
  3. 记录命中类型与上下文到审计日志。

验收标准

1. 在认证相关关键接口统一接入黑名单校验，命中即拦截。
2. 用户界面提示统一、安全、不暴露风控细节。
3. 审计日志记录命中类型、时间、来源操作（脱敏）。
4. 埋点记录命中率与对转化率的影响，供运营分析。

技术备注

• 黑名单来源支持多种维度（如账号、设备、IP），对外提示统一文案。
• 与频控、爆破防护策略的决策顺序明确且可配置。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：3/5

访客｜认证界面可访问性与多语言适配

用户故事描述：作为访客，我希望认证界面支持多语言与可访问性，以便不同语言与障碍用户顺利完成认证。

详细场景描述

• 正常流程
  1. 界面随系统语言或用户选择的语言包展示相应文案。
  2. 表单元素具备可读label、错误提示与焦点管理。
• 异常处理
  • 缺失翻译键：回退到默认语言且记录埋点。
  • 读屏无法读取控件：视为可访问性缺陷，计入质量验收。

验收标准

1. 所有认证相关文案、错误提示、按钮文本均可本地化，支持语言包切换。
2. 表单具备语义化结构与可读标签；错误提示通过可访问性通道可被读屏读取。
3. 焦点与键盘导航可达，颜色对比满足内部基线。
4. 缺失翻译键时不阻塞流程，并记录埋点便于补齐。
5. 多语言选择权在用户端保存并在认证流程内保持一致。

技术备注

• 文案通过key管理；在前端构建时进行缺失检测。
• 不在日志中记录用户的具体语言内容，只记录语言代码。

优先级评估

• 优先级：紧急（P0）
• 业务价值：4/5
• 技术复杂度：3/5

注册用户｜启用/管理多因素认证（短信/TOTP Authenticator）

用户故事描述：作为注册用户，我想启用或关闭MFA（短信或Authenticator），以便提升账户安全。

详细场景描述

• 正常流程
  1. 用户在账户安全中选择MFA类型（短信或Authenticator）。
  2. 短信MFA：验证当前手机号归属并完成一次验证码校验后启用。
  3. Authenticator：展示绑定信息（如二维码/密钥），用户在App中添加并输入验证码校验后启用。
  4. 用户可在已登录态下关闭MFA，需进行一次主密码或验证码确认。
• 异常处理
  • 验证码错误/过期：提示并允许重试（受频控）。
  • 读码失败：支持手动输入密钥。
  • 系统异常：统一错误提示，并不改变现有MFA状态。

验收标准

1. 支持短信与Authenticator两种MFA方式的启用/关闭。
2. 启用前需完成一次有效验证，避免误启用。
3. 所有验证码下发受频控限制；手机号与密钥在界面与日志中脱敏。
4. 审计日志：记录启用/关闭、类型、验证结果（不含明文密钥）。
5. 与登录流程打通：启用后在登录时按策略触发二次校验。
6. 多语言与可访问性满足要求。

技术备注

• Authenticator采用标准一次性动态验证码方案；服务器验证允许合理的时间偏移窗口。
• 不展示或持久化可用于推导密钥的敏感信息。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：5/5

注册用户｜登录MFA校验与信任设备互操作

用户故事描述：作为注册用户，我想在启用MFA后于登录时完成二次校验，并在信任设备上可按策略跳过MFA，以便在保证安全的同时提升便捷性。

详细场景描述

• 正常流程
  1. 用户完成主登录（手机号+验证码、邮箱+密码或第三方登录）。
  2. 若账户启用MFA且当前设备非信任设备，则要求输入MFA验证码。
  3. 验证通过后允许选择“信任此设备”，本次及后续在有效期内跳过MFA。
• 异常处理
  • 验证码错误/过期：提示并允许重试（受频控）。
  • 多次错误：触发图形验证码或临时阻断。
  • 系统异常：不改变信任状态，提示稍后再试。

验收标准

1. 登录后判断MFA需求与设备信任状态，按策略触发校验或跳过。
2. “信任此设备”选项默认关闭，需显式勾选；有效期与撤销机制独立于会话。
3. 审计日志记录MFA挑战、结果、是否信任设备（不含设备唯一明文标识）。
4. 埋点记录MFA触发率、成功率与对登录转化的影响。
5. 与“设备信任管理与异地登录提醒”故事的信任状态保持一致。

技术备注

• 信任设备标识建议由设备信息指纹化后加密存储在端与服务端双向校验。
• 不在日志中存储可回溯到真实设备的明文标识。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：4/5

注册用户｜设备信任管理与异地登录提醒

用户故事描述：作为注册用户，我想管理我的信任设备，并在异地/新设备登录时收到提醒，以便及时发现异常。

详细场景描述

• 正常流程
  1. 用户在安全中心查看已信任设备列表（设备信息脱敏）。
  2. 用户可撤销任一信任设备；撤销后该设备下次登录需MFA。
  3. 检测到新设备或异地登录时，系统发送提醒（渠道依系统配置），并在安全中心可查看最近提醒记录（脱敏）。
• 异常处理
  • 列表获取失败：提示稍后再试。
  • 撤销失败：提示重试且不改变现状。

验收标准

1. 支持查看、撤销信任设备；展示设备名/时间/位置等脱敏信息。
2. 新设备或异地登录触发提醒并记录审计日志（含IP、时间、设备指纹摘要）。
3. 提醒不包含敏感明文信息；多语言可用。
4. 撤销后立即生效，后续登录流程按“未信任设备”处理。

技术备注

• 异地检测基于IP与地理位置粗粒度判断（不需精确定位）。
• 提醒渠道可配置；发送受频控保护与审计记录。

优先级评估

• 优先级：紧急（P0）
• 业务价值：4/5
• 技术复杂度：4/5

运营｜注册转化与登录成功率埋点与指标口径

用户故事描述：作为运营，我想获得注册转化与登录成功率等指标，以便评估认证流程效率与安全策略影响。

详细场景描述

• 正常流程
  1. 采集认证关键节点埋点，包括曝光、点击、验证、成功/失败等。
  2. 通过数据平台计算注册转化率、登录成功率、失败原因分布等指标。
  3. 支持按渠道（手机号/邮箱/第三方/MFA）、地域、终端等维度切片。
• 异常处理
  • 埋点丢失：提供数据质量告警，记录缺失比例。
  • 指标口径变更：需版本化并在看板中标明生效时间。

验收标准

1. 定义统一事件清单与字段字典（示例：auth_view、sms_code_send、sms_code_verify、signup_success、login_success、login_failed、mfa_challenge、mfa_pass、risk_block、captcha_shown）。
2. 事件字段至少包含：用户匿名ID、渠道、设备类型、网络、地区、失败原因分类、是否触发风控/验证码、耗时区间。
3. 指标输出：注册转化率、登录成功率、失败原因Top N、MFA触发率与通过率、风控拦截率、验证码触发率。
4. 保证与审计日志ID可关联（不暴露个人信息），用于问题回溯。
5. 多语言不影响事件key；如缺失翻译键产生埋点（i18n_key_missing）。

技术备注

• 埋点与日志分离采集，使用同一匿名关联键。
• 指标口径需以文档形式固化并代码化校验（防变更误差）。

优先级评估

• 优先级：紧急（P0）
• 业务价值：5/5
• 技术复杂度：4/5

运营｜认证审计日志访问（只读、脱敏）

用户故事描述：作为运营，我需要访问认证审计日志（只读、脱敏），以便进行合规审计与安全分析。

详细场景描述

• 正常流程
  1. 运营在合规系统中按时间范围、事件类型、匿名用户ID查询日志。
  2. 可导出指定时间段的日志用于合规存档。
• 异常处理
  • 权限不足：提示无权限。
  • 导出失败：提示重试并记录错误。

验收标准

1. 日志最少包含：时间、事件类型、结果、匿名用户ID、IP、设备指纹摘要、渠道、失败原因分类。
2. 敏感信息（手机号、邮箱、验证码、密钥）不以明文存储或展示；展示时均脱敏。
3. 日志具备不可篡改性与留存周期管理；访问与导出操作本身也产生审计记录。
4. 支持基础检索与导出；遵守频控，避免大批量导出影响线上性能。

技术备注

• 存储采用不可篡改方案（如追加写与签名校验）；访问受RBAC控制。
• 导出需异步化并限流。

优先级评估

• 优先级：紧急（P0）
• 业务价值：4/5
• 技术复杂度：4/5

客服｜用户认证问题定位（只读查看审计日志与风控命中信息）

用户故事描述：作为客服，我想查看用户认证相关的只读审计信息与风控命中提示，以便快速定位用户无法登录的原因并提供指导。

详细场景描述

• 正常流程
  1. 客服通过用户提供的脱敏信息（如手机号后四位+时间范围）或工单中的匿名ID查询。
  2. 系统展示近N天内与该用户相关的认证事件列表（登录失败、锁定、验证码触发、风控命中、MFA失败等）。
  3. 客服基于展示信息判断可能原因，并告知用户自助方案（如等待解锁、正确输入验证码、进行找回密码）。
• 异常处理
  • 未查询到：提示无记录，建议扩大时间范围。
  • 权限不足：提示无权限。

验收标准

1. 客服界面仅展示必要信息：事件时间、类型、结果、失败原因分类、是否触发风控/验证码、是否被锁定、剩余锁定时间（如适用）。
2. 不展示任何明文敏感信息（手机号全量、邮箱全量、验证码、密钥等）。
3. 查询动作记录到审计日志；遵守访问频控。
4. 支持多语言与可访问性（表格列名可读、键盘可达）。

技术备注

• 客服查询必须使用匿名ID或脱敏匹配；禁止通过明文条件直接检索。
• 失败原因分类与用户提示文案需与前台一致，避免认知不一致。

优先级评估

• 优先级：紧急（P0）
• 业务价值：4/5
• 技术复杂度：3/5

安全与合规｜统一技术备注（跨故事适用）

• 密码存储：统一采用加盐哈希，严禁明文或可逆加密；盐值随机且与账号绑定。
• 敏感信息脱敏：手机号、邮箱、设备标识、IP在界面与日志中均脱敏/摘要化；验证码、密钥从不写日志。
• 频控：短信/邮件发送、验证码验证、找回密码、MFA均受频控与限流保护，阈值集中配置。
• 审计日志：全链路记录关键事件，具备不可篡改性与访问留痕；与埋点通过匿名ID可关联。
• 多语言与可访问性：所有认证相关UI/文案可本地化；满足基础可访问性基线（可读label、键盘可达、错误提示读屏可读）。
• 黑名单与风控：在认证关键节点统一决策与拦截；对用户提示统一安全文案，不泄露策略细节。