上次帮一个物流园的IT负责人选WiFi认证方案，他上来就问"你们支持Portal认证吗"。我问他知不知道Portal和802.1X的区别，他愣了一下——原来他只是听别人提过这个词，自己没搞清楚。

这种选型前置功课没做足的例子太常见了。今天把几种主流WiFi认证方式摊开来聊，不讲概念定义，只讲实际场景里怎么判断用哪个。

第一种：Portal网页认证

也叫强制门户，用户连上WiFi后会自动弹出一个登录页面，不输账号密码就上不了网。

这种方式的优点是部署简单，不用在每台设备上装客户端，用户拿手机、平板、笔记本都能用。酒店、咖啡厅、商场用这个最合适，成本低、用户体验门槛也低。

但问题也很明显。安全性只靠一个用户名密码，没有双向证书验证，中间人攻击的风险比802.1X高出一截。另外Portal页面在移动设备上的兼容性是个坑——iOS和安卓的弹窗策略越来越严格，有时候弹不出来，用户以为是网络故障，实际是认证流程被系统拦截了。

我见过一个写字楼的案例：上线了Portal认证，结果大批租户投诉手机连不上。排查了半个月才发现，是微信内置浏览器和Safari对Portal弹窗的处理机制不同导致的。后期换了套支持微信内嵌认证的方案才解决。

第二种：802.1X企业级认证

这是目前企业内网WiFi最主流的认证方式。配合RADIUS服务器使用，支持EAP协议家族（PEAP、TTLS、TLS等），每台接入设备都有独立的身份证书。

优势在于安全等级高，密钥是动态协商的，每会话独立，而且支持设备准入控制——不是所有笔记本都能接入核心区域，只有特定部门、特定设备才行。

缺点是部署复杂度高。你需要有自己的AD域或者LDAP账号体系，需要维护RADIUS服务器，每台新设备入网要走证书申请流程。如果IT团队规模小、没有专职安全人员，维护成本会比较高。

金融、政务、大型企业选这个没毛病。但如果是一个几十人的小公司，IT就一两个人，硬上802.1X就是在给自己挖坑。

第三种：PSK预共享密钥

就是大家最熟悉的那种——输入WiFi密码就能连。这个方式没有用户账号体系，密码对了就放行。

小企业用这个没问题，但有一个致命缺陷：密码一旦泄露，整张WiFi网络的设备准入控制就形同虚设。而且PSK没有用户审计，不知道是谁在哪台设备上操作过——出了安全问题，连追溯都追溯不了。

有人会说，我把密码定期换不就行了吗？换来换去你会发现管理成本高得离谱，每次换密码还得通知所有人重新连接，体验极差。

第四种：MAC地址白名单

通过设备网卡的物理地址做准入控制。这种方式部署最简单，不需要用户名密码，也不需要证书。

但实际项目里，除非是极小规模的固定设备网络（比如工厂产线的工业平板），我一般不推荐用这种方式。MAC地址可以伪造，而且一旦有设备丢失或人员变动，维护白名单就是个噩梦——漏删一个就多一个隐患。

第五种：第三方统一认证对接

有些企业已经在用钉钉、企业微信、飞书这类办公平台，而且这些平台都有自带的WiFi准入功能——员工用公司账号扫码或者自动认证即可接入。

这种方式对员工来说体验最好，不用记额外的WiFi密码。对IT来说也省事，账号生命周期跟着办公平台走，员工离职自动失效，不用手动清理。

但缺点是需要原有系统和WiFi认证平台做对接开发，而且办公平台本身必须是公司主推的统一入口——如果公司同时用三四个办公工具，那就没法用这一套了。

选哪种认证方式，说到底就看三个问题：你的安全要求有多高、你的IT团队能投入多少精力维护、你希望用户体验简化到什么程度。把这些问题想清楚，答案自然就有了。