微信官方对小程序接口能力进行调整，旨在增强用户体验和隐私保护。然而，这也给商家带来了更多接口限制和运营规范挑战。作为产品经理，必须平衡用户和商家的利益，并确保遵守微信的运营规范，那么微信小程序该如何做好“授权”设计？

距离上一篇《微信小程序如何做好“授权”设计？》已经过去2年多时间，微信官方对小程序的接口能力做了很多调整。用户层面，微信加大了用户隐私保护和用户体验升级的力度。但对于商家来说，更多接口限制和更严苛的运营规范，增加了获客的难度。作为产品经理，需要在不违反微信运营规范的前提下，使用户和商家的利益达到平衡状态。

最近在设计授权登录流程的时候，跟研发同学产生认知的差异。研发同学一直不理解我说的登录是什么意思，导致他在设计技术方案的时候，出现了纰漏。这是我才意识到，对于不同角色的人来说，登录是全然不同的两种东西。

1. 研发所说的登录

小程序的官网文档里有一个接口叫做：小程序登录。

通过微信官方提供的登录能力方便地获取微信提供的用户身份标识，快速建立小程序内的用户体系。而这种登录，只能获取用户的openID、UnionID和会话密钥 session_key。

通俗一点，就是通过小程序的接口获取一个用户的唯一识别ID，对于不同主体（公司主体）的小程序，唯一识别ID也是不同的。这个唯一识别ID，对于业务层面来说，没有任何作用，商家无法获取用户的手机号、姓名等核心要素。

举个例子：把小程序比作一个学校，那唯一识别ID是学生证号。在学校保密的情况下，你拿到一个学生证号，无法查询到这个学生的任何资料信息。并且，不同学校的学生证号有可能会重复。

所以，唯一识别ID，是为了系统层面创建了一个用户，这个用户只有一串ID；还有记录用户的登录状态，下次进入小程序实现免登。

2. 业务所说的登录

是指通过手机号/账号，创建用户，并且用手机号/账号作为唯一识别，确定用户在业务层面唯一性的说法。他的核心点是账号/手机号。

所以当时需求描述的功能，是需要【微信授权获取手机号】的接口，而研发误以为是【小程序登录】的接口。

1. 授权头像和昵称

去年这个接口已经作废，微信官网认为获取用户的头像和昵称侵犯了隐私，并且不是必要因素，所以取消了接口。但近期发现，微信官方新加了一个接口用于获取用户信息。如果需求设计中，涉及到需要获取用户的头像和昵称，则必须设计编辑个人信息的界面，让用户主动上传或通过接口获取。特别注意：一般情况下，让用户输入微信号极其敏感，容易违规被封，建议不要收集。

2. 授权获取手机号

以前的接口，要求必须先【小程序登录】，才能调用【获取手机号】。现在的版本做出修改，两个接口独立，没有前后关联。但依旧需要用户主动触发在页面里点击按钮才能发起获取手机号接口，不能系统自动 API 来调用。

若用户举报较多或被发现在不必要场景下使用，微信有权永久回收该小程序的该接口权限；在使用该接口时，用户可使用微信绑定手机号进行授权，也添加非微信绑定手机号进行授权。若开发者仅通过手机号作为业务关联凭证，在重点场景可适当增加短信验证逻辑。