很多人问WiFi认证系统支持哪些认证方式，以为就是短信验证码和账号密码两种。实际上成熟的认证系统支持的方式超过十种，而且每种方式背后的适用逻辑、安全等级、用户体验都不一样。知道有哪些选项是一回事，知道什么时候用哪种才是关键。

以蓝海卓越V7认证系统为例，来完整梳理一遍。

账号密码认证

最基础的方式。用户输入账号和密码，系统核验通过后放行。适合用户群体固定、管理员统一发号的场景，比如企业员工、学校师生。缺点是账号密码容易忘记或者被共享，一个账号好几台设备同时在用，这个问题在实际部署里很常见。V7支持设置单账号最多几台设备同时在线，超出就踢掉最早登录的那台。

短信认证

用户填手机号，系统下发验证码，核验通过后上线。最大的价值是实名——手机号是真实身份信息，可以溯源，满足公安日志审计的实名认证要求。适合酒店访客、公共场所临时用户、连锁门店这类流动用户场景。

一个常见误区：觉得短信认证不安全，因为手机号可以乱填。事实上短信认证的安全性不在于"防止乱填手机号"，而在于"给真实手机号留下可溯源的上网记录"，这是公安审计合规的底线要求。想要更严格的实名核验，可以叠加身份证信息核验，短信加身份证双重绑定。

微信认证

用户通过微信扫码或者微信公众号完成认证，不需要填账号密码也不用等短信。用户体验是所有方式里最好的——扫一下就完事。适合酒店、商场、景区这类微信普及率高的场景。

但微信认证有一个前提：需要有公众号，认证流程要在微信生态里走。如果是政府或者企业内网，有些单位对第三方平台对接有顾虑，这种情况下微信认证就不合适。

APP认证

企业微信、钉钉、飞书这些办公软件都支持作为认证入口。员工打开APP，扫码或者在APP内确认就完成认证，适合已经在用这些办公系统的企业。好处是员工不需要记额外密码，认证账号和办公账号合并，IT管理负担减少。如果某员工被禁用了企业微信账号，WiFi认证也同步失效。

LDAP认证

与Windows域认证对接，用AD域账号做WiFi认证。典型场景是企业、政府机关、高校等有Windows域的组织。优势是账号体系统一，员工只需要记一套账号，域控统一管理，离职禁用一步到位。

有一点需要注意：LDAP对接需要认证服务器和AD域服务器之间网络通畅，而且AD域服务器需要开放LDAP端口。这在有严格网络安全策略的单位里有时会碰到阻碍，需要提前协调好网络权限。

MAC无感知认证

用户第一次手动认证通过后，系统记录这台设备的MAC地址。之后这台设备再接入，系统自动识别MAC，免认证直接放行，用户完全感知不到认证这个环节的存在。

固定用户场景用起来很顺：企业员工每天上班，酒店住客连续住几晚，校园学生每天进宿舍。MAC无感知认证通常作为其他认证方式的补充，首次认证还是需要走正式流程。

要注意的是MAC有效期设置。如果有效期太长，员工离职了设备MAC还在白名单里，这台设备如果没被IT注销就继续能连网。建议有效期和账号有效期联动，账号停用的时候同步清除关联MAC记录。

二次免认证

和MAC无感知类似，但判断逻辑稍有不同。用户在有效期内下线后再次接入，系统自动放行，不要求重新认证。典型场景是酒店客人断连重连：手机信号切换导致WiFi短暂断开，重连不应该要求重新输一遍验证码。

802.1X认证

和Portal认证（弹出页面输账号）完全不同的体系。802.1X是基于网络端口的认证，认证不通过则端口不通，数据包过不来。安全等级最高，适合对网络安全要求严格的场景：金融机构、政府内网、核心研发环境。

部署802.1X需要网络设备支持，还需要客户端配置认证客户端（Supplicant），运维门槛比Portal认证高很多。对于没有安全团队的中小企业，直接上802.1X往往运维跟不上，容易出现大量连接异常但找不到人解决的情况。

PEAP认证和EAP-SIM认证

这两种是更高级别的安全认证，主要用在5G专网、物联网、金融机构这类对安全等级要求极高的场景。PEAP支持手机终端做高级别安全认证，EAP-SIM基于SIM卡完成认证，理论上是最难被伪造的方式之一。这两种方式在普通企业里用得不多，但在特殊行业里是必选项。

双因子认证

账号密码加上手机号动态码，两个因素缺一不可才能通过认证。适合安全等级要求最高的场景：银行、政府核心系统、高安全级别企业。缺点是用户体验相对繁琐，登录一次需要两个步骤，对于普通员工来说接受度参差不齐。如果你的场景是普通办公区域，上双因子有点过度设计。

第三方数据源认证

这是最灵活的方式，可以对接任意第三方系统：一卡通系统（校园/企业）、OA系统、人力资源系统，甚至是自定义数据库。用户用已有系统里的账号直接认证，不需要再建一套新账号体系。

典型场景：学校里学生用学号加一卡通认证，宿舍楼、图书馆、食堂同一套账号；工厂里工人用工号加工卡认证，考勤系统和网络认证打通。这种对接方式的技术难度在于接口对接，如果对方系统有标准API或者LDAP接口，对接相对简单；如果是自建老系统，就要具体评估。

怎么选，从几个实际问题想起。

用户是固定的还是流动的？固定用户（员工、学生）适合账号密码、LDAP、MAC无感知；流动用户（酒店客人、商场访客）适合短信、微信。

对安全有多高要求？普通办公账号密码加MAC无感知就够了；高安全要求加上双因子或者802.1X；最高级别上EAP-SIM或PEAP。

有没有现成的账号体系？有AD域就用LDAP；有企业微信/钉钉就用APP认证；有一卡通或OA就对接第三方数据源，别再搞一套新账号。

用户体验优先还是安全优先？MAC无感知体验最好；双因子安全最强；短信、微信折中。不同区域可以混用，员工区用LDAP加MAC无感知，访客区用短信，只要认证策略分好区，互不干扰。