首先简单介绍一下什么是Portal认证，Portal认证，通常也会叫Web认证，未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。现金很多中国移动CMCC、中国联通、中国电信ChinaNet的WIFI都使用这种认证接入方式。

在OpenWRT上实现Portal认证，实际上早已有解决方案：

1. chillispot，但原维护作者停止更新，被chillispot.info接管继续开发；
2. coova-chilli，它是基于chillispot开发拓展的，功能最为强大；可以去官方看一下Coova-chilli；
3. wifidog
   前两个由于原维护作者停止更新，笔者也没有深入研究，重点钻研了wifidog，Wifidog也是OpenWRT和DD-WRT中实现Portal比较出名的。
   但是，Wifidog只是实现AP认证网关，需要配合外部的Portal服务器才能使用，Portal主要是提供认证所需的WEB页面且实现认证计费等的功能。虽然这也有很多商用解决方案，例如wiwiz、wifiap等，但是这些商业解决方案的目标都是盈利，即使可以免费使用，免费账号的功能和权限都受到了很大的限制，例如不能自定义页面，Web认证页面有广告等等。有条件的人可能打算自己搭建Portal服务器，但是看看Wifidog的官方Wiki，对搭建过程实在是难以理解。后来，笔者发现网络上还有一个authpuppy方案，官方网站www.authpuppy.org，是一个已实现好的Wifidog认证服务器，里面包含各种插件供你使用，官方的安装过程也很简单，如果你懂的HTML和面向对象编程的相关知识且拥有一个服务器，可以自行修改认证页面，使用authpuppy也是一个不错的方案。
   但是，即便如此，这些方案还是不够灵活，经过笔者认真钻研，查阅大量资料并经过多次抓包分析，终于理解了Wifidog的工作原理。接下来笔者将会跟你介绍如何自行编写一个轻量级的Web Portal认证服务器。当然，这需要你具有程序设计基础，HTML、CSS当然是少不得的，后端开发语言可以使用PHP或Python或Java等。
   首先，需要简单介绍一下Wifidog的工作原理：
4. 客户端发出初始化请求，比如访问 www.baidu.com。
5. 网关的防火墙规则将这个请求重定向到本地网关的端口上。这个端口是Wifidog监听的端口。
6. Wfidog提供一个HTTP重定向回复，重定向到Web认证页面，重定向的Url的Querystring中包含了Gateway的ID，Gateway的FQDN以及其他的信息。
7. 用户向认证服务器发出认证请求
   http://portal_server:port/login_script?
   gw_id=[GatewayID, default: "default"]
   gw_address=[GatewayAddress, internal IP of router]
   gw_port=[GatewayPort, port that wifidog Gateway is listening on]
   url=[user requested url]；
8. 网关返回一个（可以是自定义的）splash（也称作“登录”）页面。
9. 用户提供他的凭据信息，比如用户名和密码。
10. 成功认证的话，客户端将会被重定向到网关的自己的web页面上，并且带有一个认证凭据（一个一次性的token），内容比如：
    http://GatewayIP:GatewayPort/wifidog/auth?token=[auth token]；
11. 用户就是用获取到的凭据访问网关。
12. 网关去认证服务器询问token的有效性。
13. 认证服务器确认token的有效性。
14. 网关发送重定向给客户端，以从认证服务器上获取 成功提示页面，重定向到 http://portal_server:port/portal_script 这个位置。

15. 认证服务器通知客户请求成功，可以上网了。

    图解:
    

    图解Wifidog工作原理
    

然后考察一下Wifidog的配置文件/etc/wifidog.conf，关键的配置项是：

AuthServer {
    Hostname             (Mandatory; Default: NONE)
    SSLAvailable           (Optional; Default: no; Possible values: yes, no)
    SSLPort               (Optional; Default: 443)
    HTTPPort             (Optional; Default: 80)
    Path                  (Optional; Default: /wifidog/ Note:  The path must be both prefixed and suffixed by /.  Use a single / for server root.)
    LoginScriptPathFragment  (Optional; Default: login/? Note:  This is the script the user will be sent to for login.)
    PortalScriptPathFragment (Optional; Default: portal/? Note:  This is the script the user will be sent to after a successfull login.)
    MsgScriptPathFragment    (Optional; Default: gw_message.php? Note:  This is the script the user will be sent to upon error to read a readable message.)
    PingScriptPathFragment    (Optional; Default: ping/? Note:  This is the script the user will be sent to upon error to read a readable message.)
    AuthScriptPathFragment    (Optional; Default: auth/? Note:  This is the script the user will be sent to upon error to read a readable message.)
}

# Listen on this port
GatewayPort 2060

# Parameter: CheckInterval
# Default: 60
# Optional
#
# How many seconds should we wait between timeout checks.  This is also
# how often the gateway will ping the auth server and how often it will
# update the traffic counters on the auth server.  Setting this too low
# wastes bandwidth, setting this too high will cause the gateway to take
# a long time to switch to it’s backup auth server(s).
CheckInterval 60

# Parameter: ClientTimeout
# Default: 5
# Optional
#
# Set this to the desired of number of CheckInterval of inactivity before a client is logged out
# The timeout will be INTERVAL * TIMEOUT
ClientTimeout 5

AuthServer是Portal服务器的配置项；

GatewayPort是Wifidog监听的地址，默认是2060，一般保持默认即可；

CheckInterval是心跳时长，单位是秒，什么是心跳呢，客户端认证成功之后，如果有网络访问动作，Wifidog getway就会每隔一段时间访问Portal服务器的一个脚本，用于认证计费，当然，如果客户使用超时或超流量，也可以通过心跳强制客户端下线。

ClientTimeout是用户一次认证成功后的网络访问时长，超过这个时间需要重新认证，这个时长并非由ClientTimeout单独决定，取决于INTERVAL * TIMEOUT。

详细的配置信息可以访问：http://dev.wifidog.org/browser/trunk/wifidog/wifidog.conf。

我们重点讨论Portal服务器的配置项，Hostname是Portal服务器的ip或者是域名，SSLAvailable和SSLPort是SSL加密配置，如果你的Portal服务器有配置HTTPS加密，则需要配置这两项；Path是指你的脚本路径(举例，http://a.com/to/，则a.com是域名，/to/是路径)，注意路径必须以“/”开头和结尾，如果是根路径，则填一个“/”即可；接下来的5个配置指明你的脚本名，这说明了我们需要写五个脚本，我会详细说明。(以下文中涉及的“第几步”均是指Wifidog认证过程的步骤)

LoginScriptPathFragment配置项配置的是登陆脚本，它通过GET方式接受传入参数gw_address、gw_port、gw_id、mac和url，gw_address是AP Getway的ip地址；gw_port是Wifidog监听的端口，即上面介绍的wifidog.conf中的GatewayPort配置；gw_id是AP Getway的id，配置文件wifidog.conf中可以配置，默认值是default，这个值的作用是当存在多个AP是，服务器或管理员可以根据不同的id确定用户的接入点；mac是客户计算机的网卡物理地址，注意不是AP网关的mac，这个mac是用来识别客户计算机的；url是客户初始访问的Url，这些Querystring都是AP Getway向客户端发出重定向请求自动生成的。这个脚本同时需要提供登陆页面，如果登陆成功，需要向客户；端返回302重定向，重定向到：http://gw_address:gw_port/wifidog/auth?token=[token]；即实现第7步，其中[token]是你自己自动生成的token字符串，随机生成一个字符串即可，但是长度最好长些，安全性更高，另外，token需要根据不同用户保存，最好保存于数据库中，之后的AP Getway询问token有效性(第9步)还需要用到。这里最好使用cookie或session，使之后的登陆成功页面可以判断用户已经成功，阻止未登录成功的人访问认证成功页面。

PortalScriptPathFragment配置项配置的是登陆成功后服务器展示的脚本(第11步)，它通过GET方式接受1个传入参数，gw_id，这个脚本比较简单，告知用户登陆成功即可，当然，最好重定向到用户之前想要方位的url，即第1步用户输入的URL。

MsgScriptPathFragment配置项配置的是错误信息展示脚本，它通过GET方式接受一个传入参数message，这个脚本也很简单，展示message的内容即可，目的是当认证过程出现错误，AP Getway会重定向到这个脚本，URL中含有错误的信息。

PingScriptPathFragment配置项配置的是心跳脚本，这个脚本它通过GET方式接受5个传入参数，gw_id，sys.uptime，sys.memfree，sys.load，wifidog.uptime，其中，sys.uptime指的是AP Getway的启动时间，sys.memfree指的是AP Getway的空闲内存，sys.load指的是AP Getway的CPU负载，wifidog.uptime指的是wifidog的启动时间，这个脚本每隔一段时间(Wifidog.conf里配置的CheckInterval)，Wifidog会自动访问，但是其目的不是用户验证，而是帮助管理员管理AP节点，了解AP节点的负载情况，适时增加节点等，Wifidog访问这个脚本时，需要这个脚本返回Pong，如果你没有统计AP节点负载数据的需求，可以丢弃这些数据，直接回应Pong，注意，这个回应只包含“Pong”字符串，无需包含其他html标签。

AuthScriptPathFragment是用户认证脚本，实现的是第10步的功能，这个脚本它通过GET方式接受7个传入参数：stage、ip、mac、token、incoming、outcoming和gw_id。其中stage的值是login，ip是客户端的ip，注意不是AP Getwap的ip；mac是客户端的网卡物理地址，token就是你在认证脚本生成并返回给客户端的；incoming和outcoming用于流量控制，默认值为0；gw_id同上。如何识别用户登录成功，通过mac和token吧，LoginScriptPathFragment登陆脚本在用户登陆成功后需要记录用户的mac和token，然后在此处验证，如果匹配，回复Auth: 1，否则，回复Auth: 0。另外，这个脚本也是心跳脚本，每隔一段时间Wifidog会自动访问，如果用户使用时间超过限制或流量超过额度，服务器可以及时回应Auth: 0结束用户的访问。另外需要注意的是，回应同样无需包含html标签，另外，在Auth后的冒号和0/1之间，有一个空格，缺少这个空格也会导致出错。
在配置Wifidog的配置文件wifidog.conf是，配置脚本的配置项都必须以“?”结尾，否则以GET方式传递的QueryString会因Url缺少问号访问错误的脚本。

看到了吧，仅仅5个简单脚本，就可以实现利用Wifidog的Portal认证，当然，这过中还可以有很多应用尚未发掘，比如流量控制、带宽控制、结合Radius服务器实现认证等，你的开发也可以更上一层楼，实现更多功能。不过笔者还有一个建议，在登录页面除了用户名和密码意外，最好加个验证码，防止不怀好意之人暴力破解。
这样，你只需要一个免费的空间，甚至是简单的百度云、新浪SAE等，就可以实现一个认证服务器；有的人可能还会问，能不能把这些脚本集成到路由器当中，我的回答是能，只要你的脚本的功能不多，问题应该不大，但是这么做的风险比较大，路由的负载比较高，导致路由的运行会很不稳定，甚至经常死机，这也是笔者亲身实践的结果，所以笔者不建议这么做。

最后啰嗦提醒的是，WiFidog是使用iptables基于三层协议工作的，所以使用Wifidog的结果是，不仅是Wifi接入需要Portal认证，有线接入同样需要认证。避免这种情况最简单的做法是设立mac白名单。可能有的人又会问，能不能做到仅是Wifi接入需要认证，有线接入的无需认证，有的人可能想更上一层楼，能不能开两个Wifi，仅其中一个Wifi需要认证，另一个Wifi和有线网络不需要Portal认证，我的回答是能，至于具体做法，以后再介绍。

本文章由 http://www.wifidog.pro/2014/12/15/wifidog%E8%AE%A4%E8%AF%81.html 整理编辑，转载请注明出处

首先安装wifidog到OpenWRT的路由器：
opkg update
opkg install wifidog

wifidog依赖下面这些模块：
iptables-mod-extra
iptables-mod-ipopt
kmod-ipt-nat
iptables-mod-nat-extra
libpthread

由于trunk的固件更新会比较频繁，会导致直接opkg install wifidog安装不了，如果你凑巧又没有备份与固件对应的Packages的话，就需要到http://downloads.openwrt.org/snapshots/trunk升级固件，然后再安装wifidog。

如果你的路由器不是openwrt官方支持的版本的话，那就需要自己编译固件。make menuconfig后，在Network–>Captive Portals中选择wifidog.

安装完成后，
/etc/init.d/wifidog enable
/etc/init.d/wifidog start

这时会抛出一个错误，因为我们还没有设置AuthServer的信息。关于安装wifidog更多的信息可以参考：http://wiki.openwrt.org/doc/howto/wireless.hotspot.wifidog

下面安装Auth Server，按照官方的说法：
AuthPuppy is the next generation authentication server for Wifidog networks.
源文档 http://www.authpuppy.org/
不过貌似这wifidog和Authpuppy都已经N久没更新了。。。

AuthPutty是需要安装apache2, php5和MySQL。详细介绍在这里：http://www.authpuppy.org/doc/Getting_Started (Windows版点http://www.authpuppy.org/doc/Getting_Started_-_Windows)。

安装成功后，访问AuthPuppy会要求设置一些数据库信息，全部设置完成后能看到首页：

当然了，我们还需要设置管理员的账号。
进入Manage plugins，Install apAuthLocalUserPlugin，记得要enable这个插件。

然后，点击Manage Nodes，把默认节点的status改成deployed。这个GW(Gateway) ID default后面配置wifidog.conf的时候需要使用。

到这里，AuthPuppy就基本配置完毕了。
下面回到路由器，编辑wifidog.conf，一般情况下，我们之后配置ExternalInterface，GatewayInterface和AuthServer这三项就可以，其他默认。下面是我的配置：

GatewayID default           #注意这个ID必须跟AuthPuppy的GW ID一致
# Parameter: ExternalInterface
# Default: NONE
# Optional
#
# Set this to the external interface (the one going out to the Inernet or your larger LAN).
# Typically vlan1 for OpenWrt, and eth0 or ppp0 otherwise,
# Normally autodetected
ExternalInterface eth0      #路由器外网的物理接口

# Parameter: GatewayInterface
# Default: NONE
# Mandatory
#
# Set this to the internal interface (typically your wifi interface).
# Typically br-lan for OpenWrt, and eth1, wlan0, ath0, etc. otherwise
GatewayInterface wlan0      #路由器内网的物理接口
AuthServer {
    Hostname 192.170.1.104
    SSLAvailable no
    Path /
}

CheckInterval 60
ClientTimeout 5
FirewallRuleSet global {
}
FirewallRuleSet validating-users {
    FirewallRule allow to 0.0.0.0/0
}
FirewallRuleSet known-users {
    FirewallRule allow to 0.0.0.0/0
}
FirewallRuleSet unknown-users {
    FirewallRule allow udp port 53
    FirewallRule allow tcp port 53
    FirewallRule allow udp port 67
    FirewallRule allow tcp port 67
}
FirewallRuleSet locked-users {
    FirewallRule block to 0.0.0.0/0
}

注意这个Interface是物理接口，而不是下面OpenWRT web界面中看到的interface。注意不是下面这个：

可以看到我的Interface里面没有wlan0之类的选项，/etc/config/network里面也看不到。

root@OpenWrt:~# cat /etc/config/network
config interface ‘loopback’
    option ifname ‘lo’
    option proto ‘static’
    option ipaddr ‘127.0.0.1’
    option netmask ‘255.0.0.0’
config globals ‘globals’
    option ula_prefix ‘fd09:fd03:490d::/48′
config interface ‘lan’
    option proto ‘static’
    option ipaddr ‘192.168.1.1’
    option netmask ‘255.255.255.0’
    option ip6assign ’60’
    option _orig_ifname ‘eth0′
    option _orig_bridge ‘false’
config interface ‘WAN’
    option proto ‘dhcp’
    option _orig_ifname ‘gretap0′
    option _orig_bridge ‘false’
    option ifname ‘eth0′

之前我用gretap0和eth0设置ExternalInterface和GatewayInterface，不行。反着来也不行。网上搜了一圈，找到下面的方法来获取physical interface：

root@OpenWrt:~# ls -l /sys/class/net
lrwxrwxrwx    1 root     root             0 Jan  1  1970 eth0 ->../../devices/platform/ag71xx.0/net/eth0
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lo -> ../../devices/virtual/net/lo
lrwxrwxrwx    1 root     root             0 Aug  2 15:58 wlan0 -> ../../devices/platform/ar933x_wmac/net/wlan0

源文档 http://unix.stackexchange.com/questions/57309/how-can-i-tell-whether-a-network-interface-is-physical-device-or-virtual-alia

OK，原来我这边也是有wlan0这个interface的，找到之后添加在wifidog.conf上。重启wifidog，成功。
另外：

You can also run wifidog in foreground/Debug mode:
wifidog -f -d 7
  -f means to run in foreground (do not become a background daemon)
  -d 7 increases Debug output level to the maximum

本文章由 http://www.wifidog.pro/2014/12/15/openwrt%E4%BD%BF%E7%94%A8wifidog%E5%AE%9E%E7%8E%B0%E8%AE%A4%E8%AF%81.html整理编辑，转载请注明出处

WifiDOG是一个热点系统，包含了认证服务器和客户端两部分组成，认证原理大体说下：

General Flow Description:
一般流程描述：
①The client does his initial request, as if he was already connected, (e.g.: http://www.google.ca)
客户端发出初始化请求，比如访问 www.google.ca 这个站点

②The Gateway's firewall rules mangle the request to redirect it to a local port on the Gateway. When that's the done, the Gateway provides an HTTP Redirect reply that contains the Gateway ID, Gateway FQDN and other informations
网关的防火墙规则将这个请求重定向到本地网关的端口上。当做完这个工作，网关提供一个HTTP重定向回复，包含了Gateway的ID，Gateway的FQDN以及其他的信息。

③The Client does his request to the Auth Server as specified by the Gateway, see Login Protocol
用户向认证服务器发出认证请求

http://auth_server/login?
gw_id=[GatewayID, default: "default"]
gw_address=[GatewayAddress, internal IP of router]
gw_port=[GatewayPort, port that wifidog Gateway is listening on]
url=[user requested url]

④The Gateway replies with a (potentially custom) splash (login) page
网关返回一个（可以是自定义的）splash（也称作“登录”）页面

⑤The Client provides his identification informations (username and password)
用户提供他的凭据信息，比如用户名和密码

⑥Upon succesful authentication, the client gets an HTTP Redirect to the Gateway's own web server with his authentication proof (a one-time token), http://GatewayIP:GatewayPort/wifidog/auth?token=[auth token]
成功认证的话，客户端将会被重定向到网关的自己的web页面上，并且带有一个 认证凭据（一个一次性的token），内容比如
http://GatewayIP:GatewayPort/wifidog/auth?token=[auth token]

⑦The Client then connects to the Gateway and thus gives it his token
用户就是用获取到的凭据访问网关

⑧The Gateway requests validation of the token from the Auth Server, see Client Protocol【见登录心跳】
网关去认证服务器询问token的有效性

⑨The Auth Server confirms the token
认证服务器确认token的有效性

①①The Gateway then sends a redirect to the Client to obtain the Success Page from the Auth Server, redirects to http://auth_server/portal/
网关发送重定向给客户端，以从认证服务器上获取 成功提示页面，重定向到 http://auth_server/portal/ 这个位置

①②The Auth Server notifies the Client that his request was successful
认证服务器通知客户请求成功，可以上网了

这个是原理图，大概需要11步才能完成认证，这种token认证方式有个好处，可以第三方认证后然后到wifidog的认证服务器取一个有效的token给用户，实现与第三方认证的整合。

本文章由 http://www.wifidog.pro/2014/12/12/39.html 整理编辑，转载请注明出处

先来说说什么是热点认证系统，如果你有用过酒店或者机场的wifi，当你连上网络后试图去浏览某些页面的时候就会被从定向到一个特定的页面要求你登录啊什么的，是的，这就是热点登陆系统，可能也可以叫做wifi login portal。不管是什么，如果你理解了这概念，或者觉得有用，那么我们就来实际的搭建一下吧。

准备工作：
1、一个支持ddwrt的路由器，关于如何得到这个路由器以及那些是兼容的请上ddwrt官网自行搜索，个人比较推荐的是上淘宝买个二手的linksys wrt54g的路由器，一般这样的一个机器都有被改造过，扩充flash容量以便能安装完全版的ddwrt固件。所以下文将不会讲如何安装ddwrt固件，其实我只是自己也没安装过罢了。。

2、internet环境（其实不连应该也没什么关系，不过我没测试过）。首先有一点很重要的是，如果你把路由器只接个lan口当做交换机来用的话是无法成功的，所以这里我们必须在wan口上插根网线，并在设置里配置好二级路由，开启dhcp服务。

3、一台机器，通过lan口连接路由器，用来配置鉴权服务器。

准备完成后，举例配置如下：
ddwrt路由器 ip:192.168.11.1
鉴权服务器ip:192.168.11.128
就可以进行配置了。先配置服务器吧，wifidog官网上说使用了新的验证服务器authpuppy，于是就下载之，之后如果你想省去麻烦的php和mysql等等配置工作，建议直接使用xampp。
然后把解压的文件夹authpuppy扔到xampp默认的访问目录htdocs下,修改authpuppy部分目录的权限（详细的参看官网设置，这里就整个目录777了）。

开打浏览器输入localhost/authpuppy/web/后来到安装页面，根据要求安装就是了，这部应该没什么问题，需要你建立数据库就按照要求建个就是了，用户名则可以随便分配。
安装完之后用新建的管理员账号登陆，选择manage node，新建一个node，注意这里有个GW ID的设置，随便设个，但必须在路由器端的wifidog设置中也使用这个id，不然无法进行认证。到此为止鉴权服务器的简单功能应该算是配置完成了，之后加入复杂的功能等等则可以通过官网提供的插件和api或者自己看源码理解，可能我下次会说到，这里就不提了。

接着是路由器的配置，点开"服务"标签，二级标签选"热点"，在里面会看到被禁用的狗狗，开启之，依下设置（图片稍后奉上）：
网管ID，就是前面服务器设的那个GW ID
服务器名，随意了
下面一些默认不要动
鉴权服务器主机名，安装authpuppy服务器的ip地址192.168.11.128
SSL服务禁用
端口，还是看你服务器的配置，默认是80。
鉴权服务器路径，/authpuppy/web/
填写完成后按应用就可以了。这时候你可以登录到路由器上的wifidog看看dog是否正常工作。在浏览器中输入：192.168.11.1:2060/wifidog/status
状态如图（继续稍后。。。）就说明成功了，不过此时还有一部非常重要的事要做，那就是进入路由器管理菜单，重启路由器，之前一直由于这个原因搞了我很久。

测试，随便找个带wifi的电脑或手机，连上我们设的热点后，任意访问个页面，此时如果页面成功跳转了那么便大功告成，没有的话检测看看原因，一般如果wifidog状态正常的话是不会出问题的。
over~其实配置起来还是蛮简单的，关键还是在于后续的开发和管理上面。

本文章由 http://www.wifidog.pro/2014/12/12/ddwrt-wifidog%E8%AE%A4%E8%AF%81%E7%83%AD%E7%82%B9.html 整理编辑，转载请注明出处