一个商场、一所学校、一家酒店，只要提供公共WiFi，就绕不开一道必答题：用什么认证方式。选对了方案，用户连接顺畅，管理后台数据清晰，合规检查轻松过关。选错了方案，用户抱怨连不上网，运维天天救火，监管部门上门约谈。网络WiFi认证系统不是锦上添花的装饰，而是整个无线网络体系的咽喉要道。

Portal认证是目前公共场景部署最广泛的方案。用户连接WiFi后，浏览器会自动跳转到一个认证页面，输入手机号、验证码或者账号密码，认证通过后才能上网。这套机制的底层逻辑是：AC控制器或路由器拦截未认证终端发出的HTTP请求，将其重定向到Portal服务器，用户在Portal页面完成身份核验后，Portal服务器向RADIUS服务器发起校验，通过后向AC下发放行规则。Portal认证的最大优势在于零客户端，用户不需要安装任何软件，手机、平板、笔记本连上就能认证。但它的短板也很明显：Portal页面本身可能成为攻击目标。如果Portal页面没有启用HTTPS加密，攻击者可以伪造一个一模一样的钓鱼页面，用户在不知情的情况下把手机号验证码拱手送出。实践中Portal认证的另一个痛点是HTTPS阻断问题，现代浏览器和APP普遍默认使用HTTPS，AC无法对加密流量做重定向，导致用户连上WiFi后打不开认证页面，需要手动访问一个HTTP地址才能触发跳转。这在用户体验层面是一个绕不过去的坎。

802.1X认证走的是另一条路：端口级别的访问控制。终端关联WiFi后，必须通过EAP协议与RADIUS服务器完成身份验证，才能获得网络访问权限。802.1X支持多种EAP子类型，PEAP是Windows环境下的默认选择，利用服务器端证书建立加密隧道，用户输入域账号密码即可认证。EAP-TLS更进一步，要求终端也安装数字证书，实现双向认证，安全性最高。这套方案的安全强度远超Portal认证，支持加密传输、双向身份验证、防中间人攻击，是等保2.0三级系统推荐的身份鉴别方式。但代价是部署复杂度大幅上升：需要维护PKI证书体系，终端需要配置802.1X参数，对IT管理员的要求较高。在大学宿舍和办公楼这类场景中，802.1X的首次配置体验常常让用户望而生畏，尤其是非技术背景的学生和员工，配置失败率居高不下。技术人员圈子里流传着一句话：802.1X上线头两周，IT服务台的电话量必定翻倍。

MAC认证的思路则完全不同：既然每次都要用户输入账号太麻烦，那能不能让系统记住设备？MAC认证以终端的MAC地址作为身份标识，管理员事先把合法设备的MAC地址录入白名单，终端关联WiFi时系统自动比对MAC地址，匹配成功就直接放行。用户全程无感知，连浏览器都不会弹出来。这在固定设备场景中非常实用，比如办公室里的打印机、考勤机、AGV小车、传感器，它们不需要也不适合做Portal或802.1X认证。但MAC认证有一个硬伤：MAC地址可以被伪造。攻击者嗅探到合法设备的MAC地址后，修改自己设备的MAC地址即可冒用身份接入网络。所以MAC认证通常不单独使用，而是和802.1X或Portal认证搭配，作为二次校验或无感知认证的一个环节。

微信连WiFi是腾讯生态下的轻量化认证方案。用户连上WiFi后，微信会推送一条认证提醒，点击"一键连网"即可完成认证，同时自动关注商家的公众号。这套方案对商家来说一箭双雕：既解决了WiFi认证问题，又沉淀了私域流量。对用户来说体验流畅，不需要输入手机号、不需要等验证码，点一下就行。但微信连WiFi也有局限性：一是必须对接微信开放平台，需要商家有已认证的微信公众号或小程序；二是认证成功率和微信服务端的接口稳定性强相关，微信接口一旦限流或出现波动，用户就可能认证失败；三是用户必须安装微信并登录，境外游客或不用微信的用户无法使用。

短信认证是公共场景最"万金油"的方案。用户输入手机号，点击获取验证码，输入验证码，完成认证。这套流程几乎所有人都用过，学习成本为零。而且短信认证天然满足公共WiFi实名登记的法律要求，手机号本身就是实名信息，认证记录可以直接上报公安网安系统。缺点是成本不低：每条短信大约几分钱，一个日均数千人认证的商场，每月短信费可能上万元。另一个风险是短信通道的稳定性，运营商短信网关偶尔会拥堵，用户收不到验证码只能反复重试，体验直线下降。还有短信劫持的问题，攻击者通过伪基站或SIM卡克隆截获验证码，这虽然是小概率事件，但在金融和政务场景中仍然需要警惕。

回到现实中的选型决策，很少有场景只用一种认证方式走到底。混合认证才是常态。一所大学可能在教学楼和宿舍部署802.1X认证，在图书馆和食堂部署Portal认证，在实验室部署MAC认证给仪器设备用，校园无线网络的后台是同一套RADIUS服务器和同一套用户管理系统。一家商场可能在顾客WiFi上同时开放微信连WiFi和短信认证两种方式，用户自由选择。一套成熟的网络WiFi认证系统，应当像一个开关面板一样，允许管理员按需组合不同的认证方式，灵活适配不同区域、不同用户群体的需求。系统架构上的弹性，最终决定了运维团队能不能睡个安稳觉。