监管要求网络运营者对接入用户做实名认证，各类场所基本都清楚了。但实际落地时，很多场所的认证方案是临时凑的——买个路由器、套个portal页面、接上短信验证，就以为完事了。等到主管部门核查，问题才一个个冒出来。

做过几个酒店和园区项目之后，我发现有几个细节是反复出现的坑。

一、短信验证不等于实名认证

很多场所把短信验证码当全部。用户输入手机号，收到验证码，登录成功，运营方觉得这就算完成实名了。

但手机号不能直接等同于实名。监管层面要求的是建立"用户真实身份"与"上网行为"之间的关联，短信验证只能证明这个手机号在场，不能证明持机人是谁。

目前合规的做法是：手机号+身份证核验、手机号+公安实名认证接口扫码，或者针对企业园区，对接员工系统实名账号。具体要看当地主管部门的要求，不同省市细节有差异，照搬别人的方案不一定适用。

二、日志留存的坑

WiFi实名认证另一个绕不开的要求是上网日志留存。不少场所的设备是留了日志，但留的不对。

常见问题有这几类：只记了IP，没有和认证账号对应；日志保留时间不够（通常要求180天）；设备本地存储，没传到具备资质的日志服务器。

到核查时，日志调不出来，或者调出来找不到用户身份，都算不合规。

日志问题在小型场所更容易被忽略。设备商或集成商交付时往往只把认证弹窗调通，日志这部分默认让客户自己想办法。

三、认证系统本身要看资质

这个问题在园区和学校场景里比较常见。场所用的是第三方WiFi实名认证系统，这个系统有没有备案、服务商有没有相关资质，很多运营方根本没问过。

出了问题，场所和服务商之间容易互相推。从运营方角度，采购前要确认服务商有增值电信业务经营许可证，合同里也要明确数据责任归属。

四、访客和长住用户要分开管

酒店有住店客人，也有商务访客；园区有员工，也有外来施工人员。不同类型的用户，账号有效期和权限不一样，如果全部用同一套逻辑管，后面很难维护。

WiFi实名认证系统上线前，最好先把用户分类和账号生命周期的规则理清楚。否则过段时间账号库里一堆过期账号没清理，或者离职员工账号还能上网，核查时同样是问题。

---

以上几点不是技术层面的难题，更多是系统规划和采购时容易忽略的环节。WiFi实名认证本身不复杂，但要做到真正合规、细节都对得上，还是需要在项目初期就把要求摸清楚。