怎么样架设需要用户认证的无线网络？

如何创建专业的商用WiFi热点

在国外一些酒店、餐厅、咖啡厅、商业中心或其他的商家，我们经常可以看到可以使用笔记本或手机使用商家提供的无线Wifi网络上网。

这是一个非常好的手段，客人得到了便利，商家赢得了客流。

其实，架设一个普通的家用WiFi热点是非常简单的。用一个普通的无线路由器（Wireless Router）就可以实现。但是在商业场合，这种方式往往就不能满足需求了。因为，普通家用的开放式的WiFi热点没有安全验证机制，任何用户都可以使用热点，甚至是商家以外的用户也可以“蹭网”。这就大大影响了网络热点的安全性和网络的稳定性。即使用WEP或WAP等验证方式也难以完全保证热点的安全性，而且也会大大限制了热点的便利性。

创建专业的商用WiFi热点的做法是，为欲使用热点的用户提供一个Web认证页面，一般是用强制网络门户系统(Captive Portal)/热点管理系统来实现的。以此认证页面为基础提供对用户多元化的认证方式。用户只有通过认证后，才能接入Wifi热点以使用Internet。同时，商家也可利用强制网络门户系统的后台实现与客户的一定互动。例如，可以在用户认证前向用户提示热点使用协议；或者发布商家或赞助商的广告；向客户推送商家最新促销信息等。甚至，还可以要求热点用户在线支付一定费用后才允许接入热点等等。一般，商家还可在强制网络门户系统的后台实现一些高级安全设置。如，客户端黑名单限制，地址限制，流量控制等。

架设这样的强制网络门户/热点管理系统有多种方法。但技术原理都是类似的，一般需要一个防火墙/网关系统，一个用于认证管理和控制的后台系统。

常见的技术解决方案有NoCat、Wifidog、Chillispot等。这类系统的构筑都分别有各种系统需求和构筑方法，由于构成的组件和子系统比较多，所以相对都比较繁琐。

此外，也有一些整套的服务商解决方案，比如FON，Wiwiz，ile sans fil，Sputnik和FreeSpot等。相对配置简单很多，用户一般只需要购买这些服务商提供的无线路由器设备或自行配置网关设备即可，而后台系统可使用这些服务商提供的后台服务。

这里着重介绍一下Wiwiz，因为Wiwiz不仅有中文版，安装配置的方式也最为灵活。最方便的是Wiwiz可以使用用户现成的无线路由器或AP设备。如果无线路由器已经安装或支持DD-WRT固件，只需要简单的设置即可。如果用户的无线路由器不支持DD-WRT，还可以使用用户的本地计算机或虚拟机。详细方法可以参考Wiwiz的官方网站(wwwwiwizcom)的文档部分。

绝大部分情况下不需要调用微信开放平台的接口，只用到了微信公众账号的开发者模式就完成了；

如果想进一步改善用户体验，需要使用服务号调用微信 网页授权获取用户基本信息 接口。

基本认证流程：

用户设备（手机、Pad、笔电）连接到Wi-Fi热点

提供热点的终端节点（路由器/AP）上的WiFiDog拦截用户网络，将用户HTTP请求转向到云端AC服务器

（可跳过）云端AC服务器返回网页提醒用户进行认证

（可跳过）用户在网页或APP里完成认证（开放认证、粉丝认证、自主或定制认证）

云端AC服务器通知终端节点放行

抛开更多技术细节，主要补充说明：

如何判断当前用户是否关注了商户的微信公众账号？

为了避免太复杂的描述，以下讨论的前提是该商户的微信公众账号启用开发者模式并接入相应的接口实现服务器（一般由我这样的商业公共WiFi服务的第三方提供，或者我的客户），实现思路主要有两种：

不需要使用微信公众平台高级接口（思路：用户能与本公众账号互动，就说明已经关注）：

用网页、水牌、桌贴等提示用户关注商户的微信公众账号，然后分两种情况：

A 用户刚刚关注，服务器在用户关注时自动下发的信息（一般是多图文，当然也可以要求用户发“上网”关键字），其中有一条目的是引导用户点击，例如“点此免费使用WiFi”——该条目对应的url里带了一个对应该设备（用户）的唯一的、一次性的token——用户点击该链接后转到对应的页面——此时服务器从链接中获得了这个token——服务器通知AP（放在商户现场的路由器）放行该设备（用户）；

B 用户曾经已经关注过，请对该商户的微信公众账号发送某个关键字，如“上网”，或在商户微信公众账号菜单中点“上网”——服务器返回图文信息，其中有一条引导用户点击，后续同A

——核心思路：用户只要能和商户的微信公众账号互动，就意味着已经关注了该商户。因此，只需要将商户微信公众账号设为开发模式，并接入到相关服务器即可，不需要开通高级接口。

使用微信公众平台高级接口：

又分为两种情况：

A 调用用户信息接口 获取用户基本信息(UnionID机制) （参考上文，此为无用的方案）——与上文区别不大，只不过通过调用接口判断是否是粉丝——可是，也需要用户至少一个操作来获取OpenId——既然交互了、能获取OpenId了，说明用户已经关注本公众账号，还需要调用接口么？

B 调用OAuth-Basic接口 网页授权获取用户基本信息（注意：必须是在微信内嵌浏览器中，而且只有服务号有权限）：用户浏览器访问网页的请求被智能WiFi拦截并强制转向到商户的手机门户——在商户的手机门户的页面中加入对微信高级接口之OAuth-Basic的调用，获得当前用户（注意：对应当前商户微信公众账号）的OpenId——然后在服务器端保存的该商户的粉丝列表里匹配是否已有对应项——已有，服务器通知AP（放在商户现场的路由器）放行该设备（用户）——额外地，服务器端需要通过微信公众平台的粉丝关注和取消关注接口来维护粉丝OpenId的列表

——嗯嗯，熟悉服务号和高级接口，并细心的朋友能发现这里面还有扩展的空间和玩法。

至于在微信中发个消息、点个菜单后，微信回复预设好的WiFi密码——这是古时候某些号称国内最早、国内唯一的能用微信和WiFi关联的厂家的玩法，就不讨论了，呵呵

好，这里面有个延伸问题：

已经关注商户微信公众账号的用户 可以无感地自动可以访问网络么？

以上方法中，方法1显然是离不开用户与商户微信公众账号的互动的；方法2，如果用户已经关注过则可以实现无感体验的。

——但是，从商户甚至是商业公共WiFi服务方的利益来说，就是需要让用户在上外网前，先看看有些什么样的信息嘛

当然，我们自己是否定用商业公共WiFi发广告的商业模式的。

昨天和阿里大数据的PM聊的很开心，因为我们是用心做商户联盟、数据采集和拼图的，呵呵

其它细节参考回答：大数据时代，在街头安装收集移动设备 MAC 地址的装置，会不会是新商机，有哪些运用可能，有法律风险吗？

-------------------------补充分享------------------------------

嗯，对了，这两年见过很多公司表示不屑一顾：这事儿简单嘛，没什么技术门槛。

是的，这事儿不是不能做，也的确不算难做，但说三个方面谨供各位头脑发热的同行参考：

技术门槛永远不是门槛，从开发实现一个简单环境中的Demo到能够投入市场商业化运作，这里面大大小小的坑不计其数——这毕竟不是学生做一个毕业设计交给老师点击下看看就给个分数，何况门槛越低竞争越激烈；

商业化运营中，为了最大程度照顾好商户和用户的体验问题，我们是有专门的网络工程师团队来支撑的，这里面的成本并不低；

考虑好你的盈利模式、退出机制是什么？——不要告诉我你钱多、砸钱圈地（好吧，砸我吧）。

这事儿一定是相当红的红海，而且没多久以后注定三大阵营：BAT、三大运营商和虚拟运营商和硬件厂家（比如Fon的模式）、某些具备行业资源的大公司（机场、飞机、铁路、交运、公交、地铁等等），小公司也不是一点生存不下去，只是重点一定不在WiFi甚至不在C端（抢不过BAT等）

-----------------看别的回答发现了点问题，补充分享----------------

相关从业者 匿名用户 的回答虽然很有参考性，但仔细看了下有很大的问题，比如这一段：

a、完全不具备任何开发能力，路由器是贴牌从别的公司买来的。

b、具备一定的wap页面开发能力，可以对商家wifi连接成功的微网站做一定的开发优化

c、拥有固件开发能力，可以对路由器功能做定制，包括微信登陆、微博登陆等方式的开发（实际上是路由器mac地址控制类的技术）。

d、掌握了无线射频探测技术和初步商业化的能力。

e、有稳定的代工厂和硬件设计能力。

其实，如果结合自身特点考虑好产品定位、再换一种设计思路，路由器硬件、固件都不是问题。比如我们的产品和技术实现的设计思路有几个要点（为避免广告，不讨论具体细节，尽量用白话描述意义而不是产品本身）：

终端无关：无论终端设备使用的是开源系统和固件如DD-Wrt、Open-Wrt，还是极路由等，前者有WiFiDog，后者可以做插件，但到了WiFi接入和认证服务器、Portal（门户和具体应用）服务器都是一样的——也就是说可以兼容任何终端设备（AP、胖AP、AC）；

简化认证模型，Radius无关：没有使用Radius认证，同上，我们封装了一套Web API，无论任何终端设备中的WiFiDog或者极路由插件等，通过Http/Https与接入和认证服务器通讯，随后由Portal服务器接管以进行业务判断、提供更丰富的内容和应用；

支持不同级别的漫游：一般都支持AC内的若干AP间漫游（比如KTV、**院），额外可以支持同一商户的不同路由器/胖AP（节点）之间漫游（比如更大的ShoppingMall、机场、旅游景区），当然，甚至可以支持商户之间的漫游——取决于业务需求。只是，好的设计让你可以很简单实现，不那么好的设计会比较累吧；

与现有产品可以很快速、简单集成——WiFi接入管理和认证的系统，与Portal系统（手机网站、具体业务）分离，后者可能是第三方（比如我们的客户）自己的系统，提供了各种特色的内容、服务，必须让他们可以很快速、简单的在已有产品中加入和对接智能WiFi；

WiFi接入和认证服务器可以和第三方认证服务器对接：比如，有银行客户想采用我们的系统并且与我们开展商盟的联盟营销方面的合作，但总部推荐了另外的技术公司。考虑到银行营业厅的特殊性、采集数据的价值，我们建议他们采用总部推荐的技术公司的产品（利益问题），但可以对接数据或者接口。同理，可对接大型商场已有的WiFi，甚至运营商的CMCC、ChinaNet——考虑清楚自己的核心优势是什么？技术？no, no，有核心优势外加终端无关，一样可以推翻之前使用的别家的产品重来（有没有必要罢了）；

MAC地址无关：MAC地址不是商业公共WiFi的核心诉求，别走偏了。MAC地址固然好，类似于Cookie，能唯一标识一个“设备”（设备可能会更换，也可能有多个）。但是如果没有MAC地址是不是就什么也不能干了？不是滴，核心在于通过用户的各种数据拼碎片，MAC地址是其中比较好用的一种罢了；

个人坚持不碰无线射频探测：好嘛，还是冲着MAC地址来的，呵呵。上面说了，我们的产品设计思路与MAC地址无关，不是没能力实现MAC Sniffer而是存在相当大的隐私泄露方面社会事件和法律相关风险，比如近期的新闻和问题：iOS 8 设备随机 MAC 地址躲避 Wi-Fi 热点的记录追踪，技术上是怎么实现，有何影响？从用户角度或者商业角度，个人都期望类似技术尽快流行，避免甚至打击MAC嗅探技术的过度使用。其实这类问题不妨邀请芝麻科技等来回答。

因此，对照匿名用户的几条来看，其中C是错误的，微信登录等不需要固件开发能力，也与MAC地址控制无关；B是我们的目标客户和合作伙伴；A和E意义不大；D可能面临较大的风险——个人感觉匿名用户所在公司的产品定位、设计思路和技术路线有问题。同样，@张强 的技术实现思路也比较传统甚至过时了。

所以，不要纠结设备是否是找厂家定制的了——这是传统厂家的优势，它们也会来做商业公共智能路由的（貌似Dlink已经推出了吧）；不要纠结系统和固件了——这是海蜘蛛、WayOS等等的地盘；不要纠结是否自己去从0实现了——有解决方案提供商和成熟商业产品、运营经验了。

呵呵，我们是在开始启动之前已经分析好这些优劣势才决定了产品的定位和设计思路的，个人以为非常值得同行参考。

目前市面上有一些云计算服务商提供免费的云服务器，例如：

1 Amazon Web Services（AWS）：AWS提供12个月的免费服务，包括750小时的EC2虚拟机使用时间、5GB的S3存储空间、RDS数据库等。

2 Microsoft Azure：Azure提供1个月的免费试用，包括750小时的虚拟机使用时间、5GB的Blob存储空间等。

3 Google Cloud Platform（GCP）：GCP提供12个月的免费试用，包括$300的信用额度，可以用于购买虚拟机、存储等。

4 阿里云：阿里云提供1年的免费服务，包括1个ECS虚拟机、40GB的云盘、1000GB的公网流量等。

需要注意的是，这些免费服务通常有一定的限制，例如使用时间、服务范围、资源配置等，如果需要更高级的功能和更大的资源，需要付费购买。此外，这些服务也需要用户进行注册、认证和配置等操作。

蓝易云-稳定服务器

多数路由器都支持Web认证登录，只需打开虚拟服务功能（一般在路由器的高级设置里，有的路由器在应用管理中），只是其自带的这项功能缩水，使用起来很不方便。因此许多人采用刷DD-WRT的固件，然后安装WIWIZ来实现Web认证登录（使用这种方法，推荐使用Linksys WRT54G系列或TP-LINK WR841N）：

一、1 系统需求

a、硬件： 已安装了DD-WRT固件的无线路由器(典型的有Linksys WRT54G系列)

注：选用的DD-WRT版本必须具有Wifidog模块，所以请选择正确的DD-WRT版本（例如，对于WRT54G v3，推荐使用dd-wrtv24_nokaid_genericbin）。

b、将无线路由器通过WAN口接入到Internet。

c、在无线路由器的Web用户界面中启用SSHD(或Telnet)功能。另外，需要确保：Cron服务已启用、Wifidog服务已禁用、已启用JFFS2支持。如不支持JFFS2或没有足够的JFFS2剩余空间，则请参考下文在不支持JFFS2的情况下的安装方法。

2 在Wiwiz Web面板中创建热点：

a、登录到Wiwiz Web面板，访问http://cpwiwizcom/as/ 。

b、点击“管理热点”，在接下来的页面中点击“创建热点”。根据页面的提示完成各项设置，点击保存。就可以看到刚创建热点的Hotspot ID。记下它，接下来的步骤将会用到它。

3 安装与设置HotSpot Builder Utility组件：

a、将一台PC连接至你的无线路由器，用telnet或者ssh方式连接到无线路由器(如，在PC上执行“telnet 19216811”)。

b、分别依次执行以下3条命令:

cd; wget http://dlwiwizcom/hsbuilder-util-latest-DD-WRTtargz

cd /jffs; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRTtargz

/jffs/usr/local/hsbuilder/hsbuilder_setup4dd-wrtsh -dest /jffs setup

d、执行完第三条命令后，程序会分若干步要求你输入一些设置信息，请按照提示完成设置。特别地，用户将会被提示输入External NIC 与 Internal NIC。External NIC 代表的是连接Internet的网络接口。Internal NIC 代表的是连接局域网的网络接口。如果不确定，直接打回车。

e、需要输入的Hotspot ID就是在Wiwiz Web面板中创建的热点的Hotspot ID（不是热点的名称）。User Name是在Wiwiz Web面板注册的用户名。

f、现在，如果没有报错信息，那么安装已经完成了。

g、最后，可以使用一个Wi-Fi客户端(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下这个热点：

- 搜索可用Wi-Fi热点，并连接到你的热点。

- 打开Web浏览器，输入任何一个HTTP开头的网址。如果热点的认证页面能够显示出来，就说明这个热点已经正常运转了。

二、在不支持JFFS2的情况下的安装方法

1、若所用的DD-WRT版本不支持JFFS2或没有足够的JFFS2剩余空间，也可以将Wiwiz HotSpot Builder Utility安装在/tmp目录或其他可存储的目录下，即通过Telnet或SSH连接至DD-WRT设备后依次执行以下3条命令（需要先将DD-WRT设备连接至Internet）：

cd; wget http://dlwiwizcom/hsbuilder-util-latest-DD-WRTtargz

cd /tmp; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRTtargz

/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrtsh -dest /tmp setup

2、注意：一般，DD-WRT设备重启后/tmp将会被自动清空，之前的安装设置也会失效。如果希望每次DD-WRT设备重启后依然能保持Wiwiz的设置，可以尝试以下方法：

a、将DD-WRT设备连接至Internet。

b、打开浏览器进入DD-WRT的Web管理界面（通常的地址是http://19216811），选择“管理”->“命令”标签页，在“指令”中输入以下内容（将HOTSPOTID和USERNAME分别替换为实际的Hotspot ID与Wiwiz用户名）：

if [ ! -e "/tmp/usr/local/hsbuilder/hsbuildersh" ]; then

wget -O - "http://dlwiwizcom/hsbuilder-util-latest-DD-WRTtargz" > /tmp/hsbuilder-util-latest-DD-WRTtargz

cd /tmp; tar -zxf /tmp/hsbuilder-util-latest-DD-WRTtargz

/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrtsh -dest /tmp qsetup -hotspotid HOTSPOTID -username USERNAME

fi

c、然后点击“保存为防火墙指令”。之后，重启DD-WRT设备，并等待数分钟至Wiwiz客户端加载完成。

三、若上述方法无效，可尝试以下方法：

注：此安装指南中描述的方案为非首选安装方案，仅推荐用于某些简易版本的DD-WRT。目前，此方式只能实现Wiwiz HotSpot Builder的基本功能，存在一些功能限制，包括：

- 如创建计费型热点后，热点使用者认证前无法访问Paypal或支付宝在线充值

- 不支持黑/白名单地址列表管理

- 无法打开非内网的用户自定义认证页面URL

- 无法打开非内网的Wiwiz Auth API认证URL

- 访问控制中的免认证功能

- 不支持智能服务器地址切换，影响稳定性

1 系统需求

硬件： 已安装了DD-WRT固件的无线路由器（需要Wifidog支持）。

2 设置步骤

a、将无线路由器接入Internet。设置好无线配置等。

b、点击“服务”->“热点”标签页（参考下图）。

c、按照以下配置各项目（参考下图）：

Wifidog守护进程：        选择“启用”

网关ID：                         填写Web控制面板中创建的热点的Hotspot ID

Web服务器名：             填写“Wiwiz”

端口：                             使用默认值

最大用户数：                 使用默认值，或可按实际需要填写

检查间隔 (秒) ：            使用默认值

客户端超时：                 使用默认值

鉴权服务器主机名：     填写“cpwiwizcom”

鉴权服务器SSL启用：    选择“禁用”

鉴权服务器HTTP端口：   使用默认值

鉴权服务器路径：        填写“/as/s/”

d、然后，点击“应用”按钮（参考下图）。

e、最后，可以使用一个Wi-Fi客户端(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下这个热点：

- 搜索可用Wi-Fi热点，并连接到你的热点。

- 打开Web浏览器，输入任何一个HTTP开头的网址。如果该热点的认证页面能够显示出来，就说明它已经正常运转了。

四、必要的话，在路由器与局域网内电脑之间安装硬件防火墙或软件防火墙，增强内网安全性。

先在网上邻居的属性-本地连接-属性里把（TCP/TP)里把，使用下面的IP地址里把本地IP填上，下面的DNS服务器地址可以填写一个，这样开机就不会出现寻找服务器的情况了。如果这种方法不行的话就是以下原因了。。。

原因1：网线质量差，或者网卡有问题，或者没有选择“使用私有组播地址认证”

解决办法：检查网线是否正常，在认证客户端中设置“使用私有组播地址认证”，重装网卡驱动程序，如果问题依旧存在，更换一张网卡

原因2：提供服务的接入交换机到网管中心的服务器通信不正常，可能是某台交换机或者网管中心停电

解决办法：将此现象通知网管中心，并耐心等待。

要是现实“网络电缆被拔出”，那就是网卡问题了。。。

作为一款多功能的上网辅助软件，校园网破解免登录具有以下特点：最新的头条资讯，每日带给你最新的头条新闻，针对自己手机信号进行甄别，加强信号，一键加速您的WiFi。

校园网破解免登录介绍

校园网是一款可以帮助你直接跳过校园网认证登录的软件；这款软件功能强大，可以自由选择线路、节点，快速的连接到校园网。同时，该软件是非常安全的，不会涉及到个人隐私，也会被暴露个人隐私；同时操作也是非常方便的，只需要点击选择线路即可。这款软件能够有超快的网速，我们千M服务器轻松上5至10M。

校园网破解免登录特色

帮助用户管理和使用网络资源；

路由成绩单大家一起晒晒吧；

享受24小时免费wifi；

以便用户及时的处理隐患信息；

校园网破解免登录亮点

摄像头检测，可疑设备提醒，守护您的隐私安全。

一键安全连接，操作简单，上网就是这么轻松。

腾讯会员兑换，闲置带宽换会员，就是这么easy！

实时监测WiFi安全，主动防御风险WiFi。

校园网破解免登录更新

新增机场酒店可用合作热点；

连WiFi更畅快；

新增连续签到送大礼；

优化WiFi连接过程；

校园网破解免登录优势

更精准的了解不同的网络管理服务，针对最全的管理信息及时的在线查看。

智能测速，方便掌握WiFi热点的流畅性。联网设备护航上网安全。

WiFi密码管理，WiFi密码管理记录所有查看过的WiFi密码。

实时监测WiFi安全，主动防御风险WiFi，防蹭网，保护信息安全。

Portal服务器也就是接收Portal客户端认证请求的服务器端系统，其主要作用是提供免费的门户服务和基于Web认证的界面，以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个地址，用于访问门户网站。

PORTAL 基于浏览器，采用的是B/S构架， 对不同权限的用户下发不同的VLAN  访问不同的服务器资源，当通过认证后才能访问internet资源，Portal认证方式不需要安装认证客户端， 减少了客户端的维护工作量，便于运营。

可以在Portal页面上开展业务拓展，如展示商家广告， ****等基本信息。Portal广泛应用于运营商、学校等网络。

扩展资料：

Portal认证的设备要素

Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器，帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能，内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。

如果需要实现微信接入、短信接入等复杂的功能，考虑到接入设备性能和认证体验，内置Portal服务器恐怕难以胜任，需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。

认证客户端：运行HTTP协议的浏览器或运行Portal客户端软件的主机。 

接入设备：交换机、路由器或AC（Access Controller）等宽带接入设备的统称。如果把网络看成一栋高楼，那接入设备就是门卫，要进屋必须由门卫放行。

接入设备主要有三方面的作用： 在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 在认证过程中，与Portal服务器、AAA服务器交互，完成身份认证/授权的功能。 在认证通过后，允许用户访问被管理员授权的互联网资源。

Portal服务器：接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 

Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息（如新闻、天气、娱乐、商业站点、聊天室等）的指南服务的集合。Yahoo、Excite、MSNcom和Netscape NetCenter都是Portal。

参考资料：