中文
很多使用WiFi网络实名认证系统的场所都遇到过这样的情况:系统后台运行正常,AP在线,但用户连上WiFi以后,Portal认证页就是弹不出来,或者弹出来以后页面是乱的,或者手机端点了认证按钮没有反应。这类问题在测试环境里往往重现不了,却在生产环境里隔三差五就有人反映。这篇文章说的就是Portal页在真实部署中容易出的那些问题。
Portal页弹不出来的几种典型原因
用户连上需要认证的WiFi以后,设备会发起一个HTTP探测请求(通常是请求一个特定的URL),如果收到的不是预期的200响应,设备就判断"网络需要认证",然后自动弹出Portal页。整个流程看起来很简单,但实际部署里失效的点有好几个。
第一个常见问题是HTTP探测被HTTPS重定向打断。部分WiFi网络实名认证系统在配置时,会把所有HTTP流量重定向到HTTPS的Portal页。但iOS和安卓的探测请求是纯HTTP的,如果收到的是301/302跳转到HTTPS,而HTTPS证书又是自签名的,设备会拒绝这个响应,认为网络有问题,结果Portal页根本没有弹出来的机会。
第二个问题是Portal页的域名没有加入DNS白名单。在用户完成认证之前,系统会把所有DNS请求都重定向到本地解析服务器,只放行认证域名。如果Portal页里引用了CDN上的JS库或者图片资源,这些外部域名的DNS请求会被丢弃,页面加载到一半就卡住了,显示为空白或者样式完全混乱。这个问题在测试阶段不容易发现,因为测试人员通常直接在内网访问,DNS没有被劫持。
第三个原因是认证服务的IP没有做免认证放行。Portal页本身需要从认证服务器加载,如果认证服务器的IP也被策略拦截,请求根本发不出去。这在新手配置时很常见,明明把Portal域名加了白名单,但域名对应的多个IP里有几个没有放行,导致偶发性加载失败。
Portal页样式在手机端错乱的原因
很多WiFi网络实名认证系统的Portal页是几年前做的,设计时主要针对PC浏览器。在手机上打开时,要么字体小到看不清,要么布局溢出屏幕两侧,要么按钮太小点不到。这些问题本质上是没有做响应式设计,但修起来涉及供应商代码,不是运维层面能直接解决的。
更麻烦的情况是Portal页用了iframe嵌套或者JavaScript框架,而用户手机的内置浏览器对这些不支持或者版本太老。iOS的Captive Portal内置浏览器(CNA Browser)本质上是一个轻量级WebView,对JavaScript的支持有限,某些ES6语法或者async/await会直接报错,页面交互失效。安卓上的情况更复杂,不同品牌的ROM对Captive Portal的处理方式不一样,有的是弹通知要求用户点击才打开,有的是直接弹浮窗,行为不一致。
有些运维团队尝试在Portal页里加一个"如果页面显示不正常,请用浏览器手动访问XXX"的提示。这个方法对用户的要求太高,实际上没几个人会按提示操作,更多人的反应是"WiFi坏了"然后去找IT。
认证成功但仍然无法上网
这是另一类常见问题:用户在Portal页完成了手机号验证,系统也弹出了"认证成功"的提示,但接下来还是上不了网,或者过几分钟又断了。
一种情况是会话超时设置太短。WiFi网络实名认证系统会给每个认证用户分配一个会话,会话有效期内流量正常放行,超时后需要重新认证。如果超时时间设置为30分钟,用户使用一会儿之后就会被踢出,需要重新认证。对于不经常看手机的用户,这个体验很差,会让人觉得"WiFi一直断"。这个参数应该根据使用场景来设置,办公室场景建议不低于8小时,公共场所可以根据运营策略调整。
另一种情况是MAC地址漂移。当用户连的是同一个SSID下的不同AP时,如果AP之间漫游时重新触发了认证流程,用户会突然断网几秒钟。在会议室或者走廊这类AP覆盖重叠区域,这个问题尤其明显。解决方式是启用漫游免认证策略,让认证服务识别用户已经通过认证,不需要重新走Portal流程。但这个功能的实现方式因厂商不同而差异很大,有些系统默认不开启。
还有一类问题是认证后策略下发失败。认证成功后,系统应该向AP或AC发送指令,放开对应客户端的访问权限。如果这个指令由于网络延迟或报文丢失没有成功到达,认证状态在系统后台是成功的,但用户实际上还是被拦截的,只能等下一次重认证或者手动刷新。这类问题需要在日志层面排查,仅凭用户描述很难定位。
短信验证码在某些运营商下收不到
如果WiFi网络实名认证系统用的是短信验证码方式,短信通道的稳定性是一个隐藏风险。主要问题有两个:一是短信通道本身的延迟,高峰时段可能延迟超过30秒,用户在等待过程中多次点击重新发送,结果收到一堆验证码,不知道用哪个;二是短信被运营商识别为营销短信或者短信服务商被拉入黑名单,导致某些手机号根本收不到。
后者发生时,IT部门通常最后一个知道,因为用户反映的现象是"发了短信收不到",和"WiFi坏了"看起来不一样,但实际是同一个问题的不同表现。建议在系统上线后定期做短信通道测试,用不同运营商的手机号验证,确保三大运营商都能正常收到。
Portal页的运营主体信息怎么处理
这是一个常被忽视的合规细节。根据相关规定,Portal认证页需要展示网络运营主体的信息,包括单位名称和联系方式。这个要求在实际执行中有灰色地带,很多场所的认证页只有一个Logo,没有完整的运营主体信息。如果有检查,这是一个容易被指出来的问题。
另外,Portal页上的隐私政策说明也越来越重要。用户提交手机号进行实名认证,实际上是在授权运营方收集个人信息,这需要有明确的告知和用户确认环节。目前很多老系统的Portal页没有这个设计,在法规趋严的背景下,建议在下一次改版时补上。
系统日志和用户认证记录对接了多少
Portal认证成功只是第一步。认证记录、上网日志、会话记录这三类数据需要关联起来,才能在溯源时还原出完整的行为链。问题是,这三类数据往往存在不同的模块里,有时候字段不统一,有时候时间戳时区不一样,导致关联查询时要做大量的数据清洗工作。
在部署WiFi网络实名认证系统时,建议提前确认这几类数据的存储位置、格式规范和关联字段,不要等到真的需要溯源时才发现数据对不上。这是一个在测试阶段就应该验证的功能,而不是留到生产环境出了事故再去补。