portal 认证技术实现方式

portal认证方法Portal认证方法包含以下步骤：1. 注册账号在使用Portal之前，用户需要先注册账号。

注册账号需要提供必要的个人信息，如姓名、电子邮件地址和密码等。

在注册完成后，系统会将账号信息存储到数据库中。

2. 登录系统在注册成功后，用户可以使用注册的邮箱和密码登录系统。

登录系统后，用户可以访问自己的个人信息和Portal的其他功能。

3. 身份验证为了确保系统的安全性和用户的数据安全，Portal还需要进行身份验证。

身份验证方法可以是通过手机短信验证码、邮件验证码或者是人脸识别等方式进行。

验证成功后，用户才能够继续使用网站的各项服务。

4. 接入授权在使用某些特定的功能时，Portal需要进行接入授权。

接入授权主要是为了保护用户数据的安全性，确保数据不被非法使用。

用户需要授权给Portal应用程序才能够使用相关的功能。

5. 安全连接在Portal连接的过程中，系统采用安全连接协议来保证信息传输过程的安全性。

目前采用的主要协议有SSL和TLS。

这些协议使用加密算法来加密信息，确保数据在传输过程中不被窃取或篡改。

6. 数据加密在用户提交数据后，Portal系统会对数据进行加密处理。

加密方法包括对称加密和非对称加密。

对称加密是一种加密和解密使用相同的密钥的方法；非对称加密使用一对密钥，一个用于加密，另一个用于解密。

总之，Portal认证方法包括注册账号、登录系统、身份验证、接入授权、安全连接和数据加密等多个步骤。

这些步骤确保了用户数据的安全性，使用户可以放心使用Portal网站的各项服务。

portal 认证过程Portal认证是指通过门户网站来验证用户的身份和真实性，确保只有合法用户才能访问和使用特定的服务和功能。

下面是关于Portal认证过程的相关参考内容：一、用户注册1. 用户进入门户网站，点击注册按钮，进入注册页面。

2. 在注册页面，用户需要填写个人信息，例如用户名、密码、电子邮箱等。

3. 用户需同意网站的服务条款和隐私政策，并且进行验证码验证。

4. 用户注册信息的填写完成后，点击注册按钮完成注册流程。

二、登录验证1. 用户在登录页面输入用户名和密码，并进行验证码验证。

2. 网站通过验证用户输入的用户名和密码与之前注册的用户信息进行比对。

3. 如果用户输入的用户名和密码正确，系统将生成一个全局唯一的令牌，并将其存储在用户的浏览器中作为登录凭证。

4. 用户登录成功后，可以访问和使用特定的服务和功能。

三、双因素认证（可选）1. 除了用户名和密码，网站还可以要求用户进行双因素认证，提高账户的安全性。

2. 双因素认证通常包括以下几种方式：手机动态验证码、指纹识别、面部识别等。

3. 用户在登录时，除了输入用户名和密码，还需提供双因素认证所要求的验证信息。

四、密码找回1. 如果用户忘记了密码，可以在登录页面点击“忘记密码”链接。

2. 用户需要提供注册时所填写的电子邮箱或者手机号码。

3. 系统会向用户提供的邮箱或者手机号码发送密码重置链接或者验证码。

4. 用户根据邮件或短信中的提示，通过设置新密码来恢复账户的访问权限。

五、账户安全管理1. 用户可以在登陆后的个人中心页面进行账户安全管理。

2. 用户可以修改密码、绑定、解绑手机号或邮箱等操作。

3. 用户还可以进行安全设置，例如设定密保问题、启用登录提醒、开启登录验证等。

六、注销账户1. 用户在不需要继续使用门户网站的服务时，可以选择注销账户。

2. 用户可以在个人中心页面找到注销账户的选项。

3. 系统会对用户进行二次确认，确保用户真正想要注销账户。

portal认证的基本过程
Portal认证的基本过程包括以下步骤：
1.客户端通过免认证规则访问portal web，在页面输入手机号以及获取的验
证码。

2.服务器收到portal请求后会向客户端所在的网络设备发送挑战报文请求该
客户端相关信息。

3.认证设备收到请求挑战报文后会回复包含客户端信息的挑战报文，正式开
始portal交互。

4.服务器完成相关认证后会主动向认证设备发起RADIUS接入认证请求。

5.认证设备收到接入认证请求报文后发送身份验证请求，服务器同意身份认
证请求并返回同意报文。

6.认证设备收到身份认证请求同意报文开始发送身份认证报文，等待服务器
返回结果。

7.服务器收到身份认证报文后进行验证，通过后返回结果到认证设备。

8.认证设备收到同意的身份验证报文后开始进行授权验证交互。

9.完成以上步骤即可认证完成开始上网。

Portal认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。

1.PPPoE通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。

在网络拓扑中，主机能与之通信的可能有不只一个网络设备。

在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。

精心整理
流程描述：
1） 用户通过标准的DHCP 协议，通过AC 获取到规划的IP 地址。

——上网的前提条件，dhcp 流程必须熟知，故障定位
2） 用户打开IE ，访问某个网站，发起HTTP 请求。

——此动作完全由完全完成，在现网运维的时候，首先要检查的是否可
以强制出URL （不一定打开网页，要打开网页，涉及到dns ，路由等）。

现网使用出现问题最多的地方，即用户保存了原来的portal 页面，从而导致portal 挑战失败。

原因是userip 地址不一样了。

在判断现网的时候，必须注意这点。

3） AC 截获用户的HTTP 请求，由于用户没有认证过，就强制到Portal 服务器。

并在强制PortalURL 中加入相关参数，具体请
参见《中国移动WLAN 设备接口规范》。

——必要的参数包括acname ，userip ，ssid ，中太ac 还可以提供uservlan ，acip 。

4） Portal 服务器向WLAN 用户终端推送WEB 认证页面。

5） 用户在认证页面上填入帐号、密码等信息，提交到Portal 服务器。

6） 7） 、手机
8） radius 9） 10） ——0103
11） 12） 13） 14） 15） 16） 17） 18） 19） 20） 当AC 收到下线请求时，向RADIUS 用户认证服务器发计费结束报文。

21） 中央RADIUS 计费服务器回应AC 的计费结束报文。

基于MAC认证的Portal无感知认证：基于portal在线用户的MAC认证一、组网需求：WX系列AC、FIT AP、便携机（安装有无线网卡）、Radius/Portal Server 二、实现原理：中国移动主推的Portal无感知认证是基于流量触发的mac-trigger，要求支持移动的mac-trigger协议，并且新增MAC绑定服务器以存储MAC的绑定关系。

对于第三方的Radius/Portal server厂商来说开发较繁琐，有些厂商是不支持的。

如果不支持mac-trigger协议，可以以下方案实现Portal的无感知认证，实现原理如下：（1）用户的业务VLAN开启MAC认证和guest vlan功能；（2）用户第一次上线时进行MAC认证，AC根据用户MAC查找在线Portal 用户，如果有该MAC地址的Portal用户，则MAC认证成功。

因为用户第一次认证，AC没有该MAC地址的Portal在线用户，用户MAC认证失败，进入guest v lan；（3）guest vlan开启Portal认证；（4）用户在guest vlan进行Portal认证，Portal认证成功后，AC立即将该用户去关联，触发用户重关联，此时由于设置idle-cut时间还未生效，AC上有该Portal用户在线；（5）用户重关联时进行MAC认证，此时AC上已有该MAC地址的Portal用户，MAC认证通过。

（6）用户后续都是无感知的MAC认证，MAC认证通过的前提是对应MAC 地址的Portal用户在线，因为后续用户流量属于业务VLAN，Portal用户的流量为0，因此设置idle-cut时间为Portal用户的在线时间，即用户能够MAC认证通过的时间。

备注：该方案中，第三方Radius/Portal server只需具有Radius服务器和Portal服务器的功能，没有特殊要求，基于portal用户的MAC认证功能在AC自身实现。

Portal认证流程通常包括以下步骤：
1. 用户连接到网络：
用户通过无线或有线方式连接到提供Portal认证的网络。

2. DHCP获取IP地址：
用户设备通过DHCP协议从网络中获取一个临时的IP地址，以便在网络中通信。

3. 访问网页触发认证：
当用户尝试访问任何网页时，他们的请求会被重定向到Portal认证页面。

这通常是通过HTTP 302重定向实现的。

4. 展示Portal页面：
用户看到一个Portal认证页面，要求他们输入认证信息，如用户名、密码、验证码或者同意使用条款等。

5. 用户输入认证信息：
用户在Portal页面上输入所需的认证信息。

6. 提交认证信息：
用户提交认证信息后，这些信息会被发送到认证服务器进行验证。

7. 认证服务器验证：
认证服务器收到信息后，会根据预定义的规则和数据库中的用户信息进行验证。

8. 授权决策：
如果用户的认证信息有效，认证服务器会向接入控制设备（如路由器或交换机）发送一个授权消息，允许用户访问网络资源。

9. 用户访问网络资源：
接收到授权消息后，接入控制设备解除对用户访问网络资源的限制，用户可以正常浏览网页或使用网络服务。

10. 会话管理：
在用户认证成功并开始使用网络后，Portal系统会进行会话管理，监控用户的活动并确保其访问权限的有效性。

如果会话超时或者用户注销，需要重新进行认证。

这个流程可能会根据具体的Portal认证系统和网络环境有所不同，但基本的步骤和原理是相似的。

portal认证工作原理
Portal认证是一种基于Web技术的用户身份认证机制，可用于公共场所、校园、企业内部网络等环境中，用于认证用户身份，控制网络访问权限，以及记录用户的网络使用情况。

其工作原理如下：
1. 用户请求网络访问：用户在使用公共场所、校园、企业内部网络等环境中，首先要向网络发出访问请求。

2. 强制跳转到Portal页面：当用户访问网络时，系统会通过“Portal认证服务器”检查用户身份，如果用户没有通过认证，系统会强制跳转到Portal页面。

3. 用户进行身份认证：用户在Portal页面上输入用户名、密码等身份信息，或者通过短信验证码、第三方认证等方式进行身份认证。

4. 认证服务器进行用户身份验证：用户输入完身份信息后，认证服务器将对用户的身份信息进行验证，验证通过后，认证服务器向后台认证服务器发送认证请求。

6. Portal认证服务器授权用户访问网络资源：当Portal认证服务器接收到后台认证服务器的认证结果后，将根据用户的身份信息，授权用户访问不同的网络资源，比如不同的网站、服务器、应用程序等。

7. 记录认证流程和用户访问情况：为保证网络访问的安全性和管理性，Portal认证系统会记录用户的认证流程和访问情况，通过日志等方式，收集关于用户的访问信息和数据，并及时更新身份信息。

8. 访问周期和自动断开：在认证通过和用户访问网络资源之后，Portal认证系统会根据访问周期和访问时长等参数，对用户进行自动断开，并且在下次访问时重新进行身份验证。

总之，Portal认证系统是一种安全、高效的用户身份认证机制，可以有效管理网络资源和控制网络访问权限，保障网络的安全性和用户的合法性。

无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证实现Portal认证支持NAC本地认证（内置本地服务器，最多支持65000个本地账号），也支持第三方的认证服务器：RADIUS服务器、LDAP服务器、Windows Active Directory。

三层Portal认证的流程如下：1、Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、接入设备向Portal服务器发送认证应答报文。

6、Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

PPPOE、Web+Portal、802.1x三种认证方式一览引言认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

三种方式有其产生的背景原因和技术特点，以下对这三种主要认证技术作一个简要的分析：技术分析1．PPPOE1998年后期问世的以太网上点对点协议（PPP over Ethernet）技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。

主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。

它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。

通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。

Portal认证技术原理分析及应用Portal认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。

Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。

1.PORTAL认证原理Portal 认证协议主要应用基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。

整个 Portal 认证过程涉及到了Portal Server，BAS 和 AAA 服务器。

Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。

Portal认证的工作流程如下图所示：图1 Portal认证流程认证流程：1、用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。

2、用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到AAA服务器进行认证。

3、 AAA服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时AAA服务器开始进行计费。

4、上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。

5、用户下线时，Portal Server收到用户下线请求并通知设备，AAA服务器终止计费并通知设备断开用户。

2.PORTAL功能特点➢不需要安装客户端软件相对于其他的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。

Portal认证过程1. 简介Portal认证是指用户在使用特定网站或应用程序时，需要进行身份验证的过程。

通过认证，用户可以获得使用该网站或应用程序的权限，以确保数据的安全性和用户身份的真实性。

在本文中，我们将详细介绍Portal认证的过程，包括用户注册、登录、密码找回等流程，以及常见的认证方式和安全措施。

2. 用户注册用户注册是Portal认证的第一步。

用户需要提供一些基本信息来创建一个账户，通常包括以下内容：•用户名：用于登录账户的唯一标识符。

•密码：用于保护账户安全的字符串，通常要求包含字母、数字和特殊字符。

•电子邮箱：用于接收账户相关通知和重置密码的链接。

•手机号码：用于接收账户相关验证码和短信通知。

用户在填写注册信息时，通常需要同意相关的服务条款和隐私政策。

一旦注册成功，用户将获得一个唯一的用户ID，并可以使用该账户登录。

3. 用户登录用户登录是Portal认证的核心步骤。

用户通过提供正确的用户名和密码来验证身份，并获得访问权限。

用户登录的过程通常包括以下几个步骤：3.1 输入用户名和密码用户在登录页面输入注册时设置的用户名和密码。

为了防止暴力破解和密码泄露，通常会对密码进行加密存储，并采取一些安全措施，如限制登录尝试次数和设置登录超时时间。

3.2 身份验证一旦用户输入用户名和密码，系统将对其进行身份验证。

这通常包括以下几个步骤：•用户名验证：系统检查输入的用户名是否存在于用户数据库中。

•密码验证：系统将输入的密码与数据库中存储的密码进行比对，以确认其正确性。

•双因素认证：一些高安全级别的系统可能要求用户进行双因素认证，例如输入动态验证码、指纹识别或面部识别等。

3.3 认证结果根据身份验证的结果，系统将决定是否允许用户登录。

如果用户名和密码验证通过，用户将获得一个访问令牌或会话ID，用于在一段时间内保持登录状态。

4. 密码找回对于忘记密码的用户，Portal通常提供密码找回功能。

用户可以通过以下方式找回密码：4.1 电子邮件找回用户在登录页面点击“忘记密码”链接，系统将要求输入注册时使用的电子邮箱地址。

TL-AC1000的Portal认证、计费的实现流程及规范你知道TL-AC1000的Portal认证、计费的实现流程及规范吗?下面是店铺整理的关于TL-AC1000的Portal认证、计费的实现流程及规范的相关资料，供你参考。

TL-AC1000的Portal认证、计费的实现流程及规范：在无线组网环境中，需要对接入终端进行认证、计费，为了满足该需求，TL-AC1000在Portal认证中提供了对应的认证、计费接口。

用户可根据需求接入第三方认证服务器，也可以使用AC内置的认证服务器进行认证计费。

本文介绍使用Radius认证服务器和本地认证服务器的认证和计费流程及规范。

注意：TL-AC1000需升级到1.2.0 Build 20151125 Rel.51471后的版本才支持计费。

TL-AC1000支持的Radius认证计费类型：只支持按时间计费。

无线终端接入无线网络之后，正常的认证、计费的过程如下：Portal认证流程图认证计费流程：1、无线终端连接WiFi，访问任意外网配置好认证策略且网络连接好后，无线客户端连接上AP发出的WiFi信号后，打开浏览器访问任意外网，触发portal认证。

2、AP拦截无线客户端访问外网的GET数据包，并重定向到WEB 服务器没有通过认证的无线客户端发往外网的GET数据包会被AP拦截，并且AP会向客户端返回重定向条目：/?pagetype=xxx&vlan=xxx&staMac=xxx&st aIp=xxx&apMac=xxx&apIp=xxx该条目主要携带以下有效信息：参数说明WEB服务器地址pagetype标志不同的认证方式vlan客户端所属的VLANstaMac客户端的MAC地址staIp客户端的IP地址apMac客户端链接的AP设备的MAC地址apIp客户端链接的AP设备的IP3、无线终端访问WEB服务器无线终端根据第二步返回的重定向条目与WEB服务器建立连接。

目录一、项目背景 .................................................................................................................... 错误!未定义书签。

二、需求分析 .................................................................................................................... 错误!未定义书签。

三、组网拓扑图 ................................................................................................................ 错误!未定义书签。

3.1网络现实状况（运行商无线覆盖+自建办公网络） ................................................ 错误!未定义书签。

3.2 改造后网络拓扑图 .................................................................................................... 错误!未定义书签。

四、智云wifi系统架构.................................................................................................... 错误!未定义书签。

4.1系统结构 ...................................................................................................................... 错误!未定义书签。

portal 认证过程Portal 认证是指在进行网络身份认证时，用户需要通过特定的流程和方式，验证其身份和访问权限。

下面是一个关于Portal 认证过程的详细参考内容。

1. 用户发起认证请求：用户需要在使用Portal服务之前进行身份认证。

通常情况下，用户会使用用户名和密码作为身份凭证进行认证，也可以选择其他认证方式，如双因素认证（2FA）或生物特征认证等。

2. 传输认证凭证：用户在发起认证请求时，其认证凭证（如用户名和密码）会通过SSL（Secure Socket Layer）或TLS （Transport Layer Security）等加密协议进行传输，以确保传输过程的安全性。

3. 服务器接收认证请求：认证请求会被Portal服务器接收并保存，以便进行后续的认证验证和授权操作。

4. 用户身份验证：Portal服务器会对接收到的认证请求中的身份凭证进行验证。

验证的方式可以是将凭证与预先存储在服务器上的用户数据库进行比对，或者将凭证发送到专门的身份验证服务进行验证。

5. 认证结果返回：认证结果会返回给用户，如果认证成功，将生成一个令牌（Token）作为用户身份的标识符。

令牌可以是一个短期的访问令牌（Access Token），或者是一个长期的刷新令牌（Refresh Token）。

6. 访问授权：在用户认证通过后，Portal服务器会根据用户的身份和访问权限，确认用户是否有权访问特定的资源或执行特定的操作。

根据服务器的安全策略，服务器可能还会要求用户进一步提供其他信息或进行额外的身份验证。

7. 认证会话管理：在用户认证成功后，Portal服务器会创建一个认证会话（Authentication Session），用于管理用户的身份认证状态和有效期。

认证会话通常会记录用户的登录时间、IP 地址、会话ID等信息，并设定一个过期时间，以确保用户在一段时间内持续访问资源而无需重新进行身份认证。

8. 认证日志记录：Portal服务器会对每个用户的认证请求和认证结果进行日志记录，用于后续的审计和安全分析，以及对恶意行为进行追踪和防范。

如何通过OSSH免费版华为Portal实现APP认证如何通过OSSH免费版华为Portal实现APP认证近日OSSH免费版华为Portal收到上海某客户的关于APP认证需求反馈，OSSH团队决定同该客户进行深入的沟通以验证是否可以实现APP认证上网。

该客户主要经营小区宽带业务，随着ISP资质的放开，宽带运营市场竞争也日益激烈，更何况还有三大运营商的市场压力。

所以计划在自营的小区内及周边为用户提供免费的无线WIFI上网服务。

初步的需求为以下几点：1、无线wifi必须针对手机、平板终端上网，台式机笔记本除外；2、所有用户必须通过APP进行认证上网；前期用户自己已经实现使用OSSH免费版华为Portal系统对接客户自有的华为53系列交换机，成功实现弹出Portal页面和认证上网。

APP认证流程介绍经过同客户及APP应用开发商的沟通，确认具体的APP认证流程如下：aa测试方案在局域网中搭建测试环境，主要包括：OSSH免费版华为Portal 服务器、蓝海卓越Radius、APPServer、华为53系列交换机、无线路由器、手机终端。

测试内容1、通过弹出的Portal页面下载APP；2、在APP中输入用户名密码，点击登录认证上网。

网络拓扑测试步骤1、搭建好测试环境，建立测试账户用户名test，密码123，并在交换机中指定推送的Portal页面（APP下载页面）；2、手机连接WIFI打开浏览器发起访问请求，直接推送APP下载页面；3、点击APP下载链接，从APPServer上下载APP，并安装；4、打开APP，按照APP认证流程，首先模拟http请求获取Portal认证的url 信息（请求跳转页面），然后输入用户名密码，点击登录；5、登录成功，正常访问互联网。

测试结果1、推送APP下载页面，如图：3、打开APP，请求跳转页面，如图：4、输入用户名密码，登录成功，如图：相同账户再次登录，会提示：5、正常上网，如图：其他说明1、在APP页面上的“页面获取”以及“用户名”“密码”的提交，将来可以在后台自动完成；2、APPServer必须在交换机（AC）的白名单中，否则会无法完成认证。

portal认证系统服务器原理及应用Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。

目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候，会要求用户输入用户名和密码•认证成功后就可以上网了.WEB认证的特点显而易见，就是不需要特殊的客户端，有浏览器就可以了•所以，手机也可以方面的使用.下图是WEB认证的原理图（CHAP认证）：连接请求卜请求Challenge .|定*器［,買请求Choi 1 沁e成功请求认证.匡』器|矚认证成功_______*告诉用户认证成功|定N器认收到认证成功扌艮文卜本文所要描述的就是PortalServer的原理与算法.PortalServer和BAS之间的通讯遵循华为的PORTAL v 1.0协议•以下是协议格式Attr以下是部分源代码和说明.typedef struct portaLheader{u_int8_t ver; //版本，在本例中为1u_int8_t type; //报文类型u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议u_int8_t rsv; //保留字段,恒为零u_intl6_t sn; //序列号，用于关联报文用，在一定时间是不能重复的u_intl6_t reqid; //应答IDu_int32_t userip; //用户的IPu_intl6_t userport; //用户端口,恒为零u_int8_t errcode; //错误码，非常有用的字段u_int8_t attrnum; //属性个数}portal_header_t;定义了PORTAL协议的协议头•如果属性个数不为零,那么后面将跟attrnum个属性. 以下是构造挑战报文的代码：sn=(u_int 16_t)( 1 +(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码req_chap->ver=ver;req_chap->type=REQ_CHALLENGE;req_chap->auth_type=CHAP;req_chap->rsv=OxOO;req_chap->sn=sn;req_chap->reqid=OxOO;;req_chap->userip = in・>s_addr; // 客户的IPreq_chap->userport=OxO;req_chap->errcode=OxO;req_chap->attrnum=OxO;当收到了type为0x02的报文，并且errcode=0x00时，说明挑战成功•接下来就可以发送认证请求报文了，以下是构造请求报文的代码：(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH:(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header). u seri p = req_chap->u seri p:(ra->header).userport=OxO;(ra->header).errcode=0x0;(ra->header).attrnuni=0x2;这个请求报文带两个属性•关键的CHAP密码构造代码如下：MD5_Init(&ctx);MD5_Update(&ctx. &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx. challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文，错误代码为零的话，就说明认证成功了. 本程序的使用命令如下：cr ver protocol basip username password client_ipver协议版本•本文只实现了VIprotocol CHAP或者PAP •本文只实现了CHAPTAP实现起来更简单. basip BAS的ip、就是报文发送到的设备IPusername从WEB过来的用户名password 从WEB PORTAL过来的密码client.ip 客户的IP地址蓝海卓越Web Portal的基本认证过程为:（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址（私网或公网）；（也可能由BAS直接做DHCP Server）o（2）用户获取到地址后，可以通过IE访问网页，BAS为该用户构造对应表项信息（基于端口号、IP）,添加用户ACL服务策略（让用户只能访问portal server和—些内部服务器，个别外部服务器如DNS）,并将用户访问其他地址的请求强制重定向到强制Web认证服务器进行访问。