企业在部署Portal认证时，用户注册页面该收集哪些字段是个很常见的设计问题。收集多了用户抱怨体验差，收集少了又满足不了业务需求和安全合规的要求。这个问题没有标准答案，但有几个思路可以参考。

首先要区分两种场景：内部员工认证和访客认证。员工认证的本质是"验证身份"——这个人是不是公司员工，他的网络权限是什么级别。所以员工Portal页面通常只需要一个账号密码就够了，或者绑定手机号做二次验证。字段越少，认证速度越快，员工的接受度越高。但很多企业的员工Portal页面上加了工号、部门、岗位、甚至身份证号这些字段，看起来信息更完整，实际上给员工增加了不必要的操作负担，而且这些信息通常可以从HR系统同步，不需要用户每次认证都手动输入。

访客认证的场景完全不同。访客对企业来说是完全未知的身份，Portal页面需要收集的信息更多。基本的手机号可以用来验证和发送验证码，但只有手机号在安全追溯时远远不够——手机号可以换，临时卡用完就丢，最好能把访客姓名、来访事由、接待人信息也一并收集。这些信息在平时可能用不上，但一旦发生安全事件，需要在很短的时间内能定位到人。很多企业的访客Portal只收集了手机号，结果安全事件追溯时拿着一堆手机号追查，查到最后全是运营商的预付费卡号段，完全无法对应到具体来访人员。

还有一个容易被忽视的问题是数据的存储和使用边界。企业在Portal页面上收集的用户信息属于个人信息，根据相关法规要求，需要明确告知用户收集这些信息的用途，并获得用户授权。如果Portal页面上收集了用户的手机号用于认证，但后台还用这个手机号做营销推送或者信息登记，这就是超范围使用，存在合规风险。建议在Portal设计阶段就把隐私政策和使用条款加上去，明确告知用户信息的收集目的、保存期限和使用范围。

关于字段的数量，有一条实际经验：Portal认证页面每增加一个必填字段，用户的认证完成率会下降几个百分点。所以对于访客这种非强制认证的场景，字段越多，愿意主动完成认证的用户比例就越低。很多企业为了收集更多信息，把Portal页面做得像登记表一样复杂，结果访客干脆不填了，直接用4G网络，反而失去了对访客网络的管控。比较好的做法是区分必填项和选填项，核心信息比如手机号是必填，其他信息作为选填项，用户填了更好，不填也能完成认证。

最后谈谈字段验证的严格程度。Portal页面上的手机号验证很多用的是短信验证码，但短信有延迟、有失败率，特别是在信号不好的区域。如果把短信验证码作为唯一的验证手段，高峰期大量用户同时认证时短信通道会排队，用户等不到验证码就会放弃。比较好的方案是短信和语音双通道，或者提供备选验证方式，比如邮件验证码、临时密码领取等。