Wifidog初分析(二)

上一节介绍了wifidog 客户端，及网关协议。
三、认证服务端简介

服务端官方推荐的有两个，一个是authpuppy，还有一个是wifidog-auth。两个环境都已经搭建成功。

Authpuppy主要是一个authpuppy.core.php ，类似Linux的管理方式，中心是一个内核文件。扩展功能是以plugin插件的方式进行加载、卸载管理的。

优点：可管理性比较好，随用随加载；不用既可以卸载掉。

缺点：代码不易阅读。因要求易于管理，插件模块形式要求严格。对于小型功能来说浪费时间。

Wifidog-auth显得就是“全面”，理解起来稍微简单。

认证主要分为三块，ping保活、login认证、portal认证。代码可能有不同，但是有相同的协议，以及相同的回复内容。下面是wifidog与服务端通信协议的几个例子。

网关心跳（Ping协议）

Wifidog将ping协议作为心跳机制向认证服务器发送当前状态信息。这可以实现为认证服务器每个节点的状态生成中央日志。

Wifidog客户端在conf文件中进行设置，目的是通过http定期启动thread(ping_thread.c)向认证服务器发送状态信息。信息格式如下：

http://auth_sever/ping/?

gw_id=%s

sys_uptime=%lu

sys_memfree=%u

sys_load=%.2f

wifidog_uptime=%lu"

通过系统调用wifidog客户端收集的数据

Headers/

HTTP/1.0\r\n"

"User-Agent: WiFiDog %s\r\n"

"Host: %s\r\n"

一个典型的HTTP需求应该是：

GET /ping/?gw_id=001217DA42D2&sys_uptime=742725&sys_memfree=2604&sys_load=0.03&wifidog_uptime=3861 HTTP/1.0( k# O# X) };

User-Agent: WiFiDog 1.1.3_beta62 T. R"

Host: auth.ilesansfil.org

认证服务器认证协议

这个页面描述了当用户已经被认证并允许访问互联网时，为了认证用户和进程，wifidog网关和认证服务器之间的信息传送。

Wifidog客户端将定期的启动一个thread来报告每个用户的连接状况。目前它被用来报告每个用户输入/输出计数器，以显示用户依然在现，并允许认证服务器将不再连接的用户断开。

以下是发给每个在线用户的信息

auth_server:/auth/index.php?

stage=

ip=

mac=

token=

incoming=

outgoing=

注意：stage=计数器/登录，取决于是否是新客户端

即使输入输出变量会在所有信息中出现，但他们只对处于counter阶段的信息有效。其它情况下输入输出经常设置为0。

在做回复时，认证服务器会以有效身份或新用户信息，或者认证服务器错误提示形式进行回复。

回复格式如下：

Auth:

新用户状态为：

0 - AUTH_DENIED - User firewall users are deleted and the user removed.% u) i D; j: i4 J' X) \/ P

6 - AUTH_VALIDATION_FAILED - User email validation timeout has occured and user/firewall is deleted7 A% n+ s. z3 O9 r

1 - AUTH_ALLOWED - User was valid, add firewall rules if not present! A" _/ B* a8 ~$ g

5 - AUTH_VALIDATION - Permit user access to email to get validation email under default rules

-1 - AUTH_ERROR - An error occurred during the validation process

注意：认识服务器错误一般不会改变防火墙或用户状态

标准的URL为：

GET /auth/?stage=counters&ip=7.0.0.107&mac=00:40:05:5F:44:43&token=4f473ae3ddc5c1c2165f7a0973c57a98&incoming=6031353&outgoing=827770 HTTP/1.0

User-Agent: WiFiDog 1.1.3_beta6

Host: auth.ilesansfil.org

网关重定向浏览器

客户端浏览器在不同情况下会被重定向到其它页面：

初始化请求：

基于捕捉，客户端会被网关重定向到以下URL：

l login/?gw_address=%s&gw_port=%d&gw_id=%s&url=%s

例如：https://auth.ilesansfil.org/login/?gw_id=0016B6DA9AE0&gw_address=7.0.0.1&gw_port=2060

初始化请求之后

当请求被处理并且客户端已经被重定向到网关时

如果服务器回复AUTH_DENIED：注意你通常在标准认证服务器上看不到这样的提示。客户端将不会被重定向回网关。

l gw_message.php?message=denied

如果服务器回复AUTH_VALIDATION:

l gw_message.php?message=activate

如果服务器回复AUTH_ALLOWED:这是门户重定向

l portal/?gw_id=%s

如果服务器回复AUTH_VALIDATION_FAILED:注意你将不会在标准认证服务器看到此回复。客户端将不会重定向回网关。

l gw_message.php?message=failed_validation

认证服务器重定向浏览器

基于成功登录，客户端将被重定向到网关。 http://" . $gw_address . ":" . $gw_port . "/wifidog/auth?token=" . $token

URL示例：http://7.0.0.1:2060/wifidog/auth?token=4f473ae3ddc5c1c2165f7a0973c57a98

本文章由http://www.wifidog.pro/2014/12/25/wifidog-%E5%88%86%E6%9E%90.html整理编辑，转载请注明出处