“任何可能出错的事情都会出错。”我们的目标是防止出现问题,并在出现问题时减轻后果。

界面是用户与系统通信的中介层,界面中的交互通常需要用户执行某些操作。不同的操作可能会导致不同的结果,其中可能有一些对于双方来说都非常重要甚至危险的操作。

所以经常需要提供额外的保护措施来“保护”用户执行一些危险甚至无法恢复的操作。
这里的“保护”并不是完全的阻止,否则这个操作也没有存在的必要。

“良好的错误消息很重要,但最好的设计首先会小心地防止问题发生。要么消除容易出错的情况,要么检查它们并在用户承诺操作之前向他们提供确认选项。”

什么是危险行为?

危险行为并不意味着要删除某些内容,具体的危险行为应该由系统的“领域”来定义,例如:

  • 进行金融交易
  • 签署法律文件
  • 拉黑用户
  • 授予某些用户权限

确认危险行为的方法

最常用的一种方法是要求用户明确确认他们的操作,这种方法也有很多实现上的细节,但无论从什么角度实现都有优劣:

首先需要明确 Modal Dialog 和 Non-modal Dialog 的区别。

“Modal 是一种设计技术,它以一个独立的模式呈现内容,阻止用户与父视图交互,并需要明确的操作来退出。”

所以 Modal Dialog 需要用户立即操作它。换句话说,除非以某种方式做出响应,否则用户无法继续使用系统。

而 Non-modal Dialog 允许用户不间断地继续使用系统。Non-modal Dialog 一个常见用法就是出现在屏幕一角的 Toast 消息。

所以如果使用得当,Modal Dialog 是防止意外点击危险操作的有效方法。这也是目前最流行的方法,它还可以和其他方法结合使用。

但首先,需要明确一个保护用户进行危险操作的 Modal Dialog 需要有哪些元素:

  1. 不要含糊其辞, 如果单纯的问用户:“你确定吗?”,用户很有可能不会有任何疑问直接点确定。
  2. 在标题中,指定具体会发生什么或哪个实体将受到影响(例如,项目名称、用户名、金额)。
  3. 提供一个图标来指示该操作是危险的,这既降低了用户盲目确认它的概率,也有利于页面的无障碍性(色盲的人可以通过图标来判断)。
  4. 在描述中,要具体并突出显示必要的信息。
  5. 按钮还应包含反映操作的词语,不要用“是”或“确认”之类的词,应该用更具描述性的“支付 10 元”,“删除用户韩暮秋”之类的词语。

除此之外,还有更加严格的保护,例如在某些情况下,可以让用户输入某些内容来“解锁”操作,例如 Github 在删除仓库的时候需要输入仓库名称才能删除,这能让用户明确的知道自己在做什么,在删除哪个仓库。

最后,根据 临近法则 ,确认操作的按钮最好放在左侧。

Danger Zone

对于关键的操作,可以使用 Danger Zone,常见的实现方式是将这一类关键的操作单独放在某一个页面的同一处,例如页面的底部。如果操作比较多,可以考虑使用一个单独的页面存放。

使用 Danger Zone 存放关键操作组件也有一些基本要素:

  1. 使用红色或其他富含警示性颜色的警告图标或边框,在视觉上将 Danger Zone 与页面的其他部分区分开来。
  2. Danger Zone 中的每个操作都应该清楚地描述如果用户继续进行将会发生什么,以便用户了解潜在的后果。
  3. 对于一些非常关键且无法恢复的行为,可以要求用户进行额外的操作。例如要求用户重复输入密码或使用 2FA。
  4. 只存放真正关键的操作。避免为了拥有一个 Danger Zone 而搞出一个 Danger Zone。

Inline Guard

这个方法解释起来挺简单,可以用在一些零碎的页面元素中,例如有一个删除一条消息的按钮,可以在用户单击这个按钮之后将其变为红色背景并修改按钮字体为 “确认删除”,用户再次点击就确认删除了。这用来防止误点击非常有用。

但是也有一些细节需要注意:

  1. 这种方法对于不那么危险的动作来说很方便,注意是“不那么危险”
  2. 一个“不那么危险”的操作应该可以恢复,所以应该提供一个选项来撤消操作或将已删除的项目放到回收站之类的地方,这是确保用户安全操作的良好组合。

Inline Guard 不能滥用,当用户非常频繁的遇到时会烦死,得权衡一下。

其他方案

还有一些方案这里简单说一下,一是 2FA,基本不用过多解释,二是双人验证甚至多人验证,就是用户发起的一个操作需要两个以上的人来验证才可以执行,例如 Github 的 Merge PR。

当系统要求用户进行一些额外的操作时,应该明确其最初的目的,因为:

  • 认知惯性:一个人倾向于近乎惯性地决定,即使这些决定不适合当前情况。例如,绝大多数人不阅读用户协议。他们只是同意冗长的文本,因为从法律角度来看这是必要的。(是的我就是这样)
  • 人们经常根据他们容易获得或熟悉的信息做出决策,而不是动脑子想。当用户看到相同的弹出窗口时,他们可能会根据之前的经验看都不看一眼直接接受它们。
  • 人类倾向于以更简单、更省力的方式思考和解决问题,而不是更复杂、更省力的方式,无论智力如何。所以许多用户只是点击“是”或“同意”而没有仔细阅读文本。

所以在某些情况下,我们可以用一些更加优雅的方法:

延迟

上面 Inline Guard 用在删除消息的场景下,也可以点击删除按钮直接删除,但同时显示一个倒计时的 Toast 并附带一个“撤销”的按钮来提醒用户。

撤销

允许用户撤消刚刚执行的操作,从而提供一个安全网来减少因犯错误而产生的焦虑。
与 Modal Dialog 这种中断系统并要求用户确认的模式不同,撤消允许完成操作后在需要时选择撤消操作,从而提供更流畅的体验。

它非常适合非破坏性、不可恢复的操作以及不会产生重大和直接后果的操作。

撤消选项与“软删除”的概念密切相关,“软删除” 的意思是:当用户通过 UI 删除某些内容时,_看起来它已被删除_,但在数据库中,我们保留数据但将其标记为已删除。数据不会丢失,这就是为什么可以使用撤消选项,因为我们实际上并没有删除任何内容,而是将其标记为已删除。

晚安。