一个做连锁酒店的客户问我，你们的认证系统能支持多少种认证方式。我说12种。他愣了一下，说他以为就是扫码和输密码两种。我说你要是只用到两种，那是你自己的选择，不是系统只能给你这两种。

网络接入认证系统的认证方式数量，往往是评估一套系统能力最直观的指标。方式越多，说明系统能适配的场景越广，遇到特殊需求的适应能力越强。但反过来，方式多也意味着实施配置更复杂，如果企业只盯着最熟悉的那一两种方式用，实际上是在浪费系统能力。

蓝海卓越的统一认证平台支持12种认证方式，下面我按实际使用频率和场景适配度，分成四组来说。

基础组：大多数企业的起点

先说三个最基础的：短信认证、Portal认证账号密码、PPPoE账号密码。这三种方式基本覆盖了国内企业无线网络90%以上的场景。

短信认证的好处是：用户不需要记账号密码，手机号就是账号，收到短信验证码就能上网。这个体验对访客来说非常友好，企业也不需要给每个访客单独开户。蓝海卓越的短信认证支持自定义密码长度、有效期、允许上网时长，而且短信内容可以模板化定制，可以在认证页面里推企业自己的品牌信息。

Portal账号密码是更传统的方式，适合企业内部员工。员工用自己的工号或者OA账号登录，系统可以跟企业AD域或者LDAP对接，员工用现有密码就可以认证，不需要在认证系统里单独维护一套账号体系。这个能力对于已经有统一身份管理的企业来说，是真正能落地的关键。

社交认证组：面向公众场景

微信认证和企业微信认证，是面向不同场景设计的两种方式。

微信连WiFi大家都不陌生：连接WiFi后弹出认证页面，选择微信授权，一键登录。这种方式对用户来说几乎是零门槛，拿起手机就能用，而且认证过程可以获取微信OpenID，企业可以用来做精准营销或者实名追溯。蓝海卓越支持通过微信小程序的方式实现认证，不强制用户关注公众号，在合规和用户体验之间做到了平衡。

企业微信认证则是针对企业员工设计的。员工通过企业微信扫码或者授权，系统直接拿到企业微信的成员信息，不需要再输入任何账号密码。这个方式特别适合已经把企业微信当成办公入口的企业，一个应用解决所有问题，员工不需要记任何额外的登录信息。

钉钉认证和飞书认证的逻辑跟企业微信类似，适合已经深度使用钉钉或飞书的企业。这两种认证方式在互联网公司和科技企业里用得比较多，因为这些公司的员工本身每天都在钉钉或者飞书上工作，用这个入口登录WiFi是顺理成章的事。

网络层认证组：面向哑终端和高安全场景

802.1X和PPPoE在上一篇文章里讲过，这里重点说LDAP认证和PEAP/EAP-SIM这两种。

LDAP认证是用来跟企业AD域对接的。企业里的Windows域环境，底层就是LDAP协议。如果网络接入认证系统能直接对接LDAP，那就意味着：员工在加入域的时候，账号就已经在AD里了，WiFi认证的时候直接用AD账号，系统不需要单独维护一套用户数据库。说起来简单，但很多认证系统做不好——要么只能读取不能写入，要么跟新版AD的兼容性有问题，要么同步延迟太高导致用户体验差。蓝海卓越平台支持LDAP双向同步，这在国内厂商里属于配置相对完整的。

PEAP和EAP-SIM是运营商级别的认证方式，普通人接触不多，但它在特定场景里不可替代。比如运营商的基站接入了企业的WiFi网络，这时候基站用的是SIM卡认证，PEAP/SIM认证就是唯一的对接方式。如果企业有跟运营商合作共建WiFi网络的业务，这两种认证方式是必选项。

特殊场景组：解决边角问题

剩下三种是面向特殊场景的：MAC无感知认证、二次无感知认证、第三方数据源认证。

MAC无感知认证解决的是一个很具体的痛点：每次连WiFi都要认证，体验繁琐，但如果不认证，安全管控就失效了。蓝海卓越的MAC无感知认证流程是：用户第一次手动认证成功之后，系统记录终端MAC地址和对应的认证状态，后续这个终端再次接入时，AC自动发起认证请求，系统判断MAC在有效期内，直接放行。用户感知不到认证过程，但后台每次都有记录。这个功能对于办公环境固定、人员流动性不高的场景特别实用。

二次无感知认证是另一种思路：用户在某段时间内首次认证后，在设定的有效期内每次接入都自动通过；过了有效期才需要重新认证。这个有效期可以按小时、天、周设置，也可以根据用户组来区分。比如访客的有效期设2小时，内部员工设30天，VIP访客设7天，各走各的策略。

第三方数据源认证是最灵活的一种。它的意思是：认证系统不维护自己的用户数据库，而是实时查询第三方系统的数据来做判断。比如医院可以把HIS系统的工号库作为认证数据源，新员工入职在HIS里建档，WiFi认证的时候系统实时查HIS数据库，查到了就放行，离职了删除账号，WiFi自动失效。不需要人工同步，不用担心数据不一致。

认证方式多不是优势，用得起来才是

说了这么多，并不是说企业要同时用上这12种认证方式。实际上，用得越多，系统越复杂，运维成本越高。大多数企业真正高频使用的，集中在短信、Portal账号、802.1X和微信这四到五种。

问题不是网络接入认证系统能支持多少种，而是在实际部署的时候，你有没有花足够的时间去梳理清楚：企业里有哪些类型的终端、哪些场景需要管控、哪些场景需要便利、哪些系统已经存在需要对接。把这些梳理清楚了，选两到三种最合适的认证方式，比装了一整套功能但只用了20%要靠谱得多。