什么阻止了你的应用在多个设备上同时登录

到了2023 年，跨设备协作已经成为大多数人的必需。在苹果的领导下，各种终端设备制造商都在建立自己的跨设备生态系统，包含但不限于在同一生态系统内的屏幕投影、剪贴板共享、设备间的数据共享等。

当前状态#

尽管在这个不可避免的趋势中，很多软件公司都没法跟上跨设备协作。最基础的层面上，很多应用不支持同一个账号在多个设备上登录。当我们谈起多设备登录或并发登录，我们指的是在多个设备上同时登录同一账号，不同设备间的登录状态不会互相影响，且具有独立且完全的访问权限。

对于那些不支持并发登录的应用，常规的做法是在第二台设备登录成功时，自动登出第一台设备上的账号，而且不会有任何提示通知用户。

为了方便可能看起来对用户有利，但对未来的使用可能引发问题。例如，如果你的设备被自动登出，不久之后你又需要再次使用它，你可能需要经过额外的安全步骤，如输入短信验证代码或进行面部识别。这些额外的步骤可能会带来更多的不便，比如面部识别需要特定的光线或姿势，而且还可能带来一些风险。

你可能会想，那么更好的方法是什么呢？更好的方法是通知用户他们只能一次登录一个设备。在有冲突的时候，应该由用户来决定移除哪个设备或者是否取消在新设备上的登录尝试。这样，用户对情况的控制更大。

挑战和潜在解决方案#

我们分析了当前不支持并发登录的应用，并找到了他们面临的一些潜在问题，我们正尝试发布这些问题并给出我们的可能解决方案。

法规要求#

在一些国家和地区，特定类别的应用（如即时通讯和社交媒体）需要实名注册以满足合规要求。

应用如何回应合规要求？#

为了回应这样的要求，不同的应用采取了不同的策略：

• 需要实名注册
• 允许注册，但只在实名验证后才授予访问某些功能的权限
• 通过像要求绑定银行卡来间接实现实名要求，以满足支付应用的需要

有了这些要求，不同应用采用的解决方案各不相同。可以确定的一件事是 —— 没有应用会阻止用户在他们的平台上创建多个账号。也就是说，他们不会对使用多个账号的设备施加技术限制，即使这些账号有相同的拥有者。

想法和可能的解决方案#

如果法规的原始意图是通过唯一的账号 ID 跟踪一个账号的使用和设备，当前的授权协议和技术能够在一个账号在多个设备上登录时，还能检测到哪个具体的设备启动了活动。

启用多设备登录并不一定意味着无法追踪行为。通过适当的技术实现，每个设备发起的账户活动仍然可以区分和跟踪。因此，可以在不对用户单设备限制的情况下，仍然遵守法规。

商业增长考虑#

我们认为这个问题不应该过多讨论 - 每个公司都有商业决策的理由。

我们了解的一个真实案例#

然而，据我们所知，一些公司早期鼓励用户创建多个账号作为增长策略。后来，这些公司进入了一个新阶段，出于技术和商业原因，他们需要合并用户的多个账号的数据，这需要他们的团队花费数年的时间来做好账号合并。

如果是我们，我们会怎么做？#

尽管让用户创建多个账号看起来对短期增长有好处，但从长远来看，用户在多个账号间管理数据变得困难，公司也很难从许多无活动的"僵尸账号"中提取有价值的见解。这将损害用户体验和增加运营成本。

所以，虽然鼓励每个用户拥有多个账号可能会暂时提高增长指标，但它会产生技术债务，且长期影响用户体验。

安全问题#

安全问题可能是应用发布商向用户解释为什么不支持同时多设备登录的最有说服力的原因。

许多人可能会接受这个解释而不再进一步思考，但我们试图找出真正的原因。

现有的安全措施#

让我们考虑银行应用，它有严格的安全要求。当你打开这种应用时，第一步是登录。许多银行应用提供了使用面部 ID 或指纹解锁并访问应用的便利。然而，对于更敏感的操作，如大额金融交易，需要额外的验证步骤来确保安全。这些步骤通常涉及各种形式的多因素身份验证（MFA）和由值得信任的第三方，通常是政府机构，提供的官方在线身份验证服务。

需要注意的是，大多数 MFA 方法只能确认当前用户能够访问设备，但不能保证用户是合法的账户所有者。有可能是有人通过其他方式获得了账户凭证。然而，线上的第三方身份验证服务可以有效地解决这个局限。通过将 MFA 和第三方身份验证的使用结合起来进行高风险操作，可以减轻与多设备登录相关的许多安全风险。

从产品角度来看，我们还可以做什么？#

到目前为止，我们没有找到任何阻止从安全角度支持多设备登录的技术难点。如果单设备的当前措施可以保证安全，那么扩展到多设备支持不会引入额外的安全风险。

我们已经确定，在安全方面没有技术上的障碍阻止支持并发登录。此外，如果可以在单一设备上保障安全，那么将支持扩展到多个设备上也没有什么大问题。这个问题可以在没有任何重大问题的情况下解决。

然而，一些产品措施可以帮助进一步提升安全性（假设已经支持了并发登录）：

1. 如果一段时间内没有活动，自动登出设备。
2. 支持管理登录状态，并且每个设备都可以监控所有设备的活动。这样用户在必要时能强制登出其他设备，以确保安全。
3. 将可疑的活动推送给设备上的通知，用户可以判断是否有恶意操作并根据需要进行阻止。

是否有任何现有的即插即用解决方案可以帮助解决这些挑战？#

对于前两个问题，我们不会过多展开，因为这些涉及到业务和法规的考虑。但是，如果你正在寻找一个支持并发登录的身份解决方案，Logto 是值得一试的！

首先，针对需要跟踪每个活动来自哪个设备的问题。Logto现有的用户活动日志已经记录了设备信息，这可以帮助 Logto 用户在这个领域满足合规要求。由于合规要求在各地区都有所不同，可能会出现在不同地区的法规规定中存在矛盾的情况。如果你有任何特殊需求，不要犹豫，随时联系 Logto 团队。

至于账号合并的第二个问题，我们在设计 Logto 时就非常清楚地明白了并发登录方法以及多设备登录方法在每个账号中的重要性。我们的登录和注册流程试图防止账号的冗余创建，允许通过不同的方法（如谷歌、电子邮件、用户名/密码等）访问一个账号。

关于第三个问题中提到的"第三方在线身份验证服务"，Logto 用户可以与第三方进行集成，在必要的情况下获取这样的功能。

Logto 的重点是实现与主流方法的 MFA 兼容（将于 2023H2 发布，订阅我们的通讯 按时了解！），并将其与我们现有的登录体验（第一章，第二章）结合起来。我们非常欢迎分享任何 MFA 使用情况 - 这些将为我们的最终产品提供重要的参考。任何 Logto 的功能都遵循三个原则：安全，尽可能易于使用，解决用户的问题。有了我们强大的登录体验配置，用户可以轻松地在极短的时间内构建一个适合商业的登录/注册流程。Logto 已经支持多设备登录。一旦 MFA 已经准备好，Logto 可以将用户带入一个更高层次的安全！