Python实现WiFi实名认证：从原理到完整方案

一、WiFi实名认证的技术背景与需求

在公共场所（如商场、学校、企业园区）提供WiFi服务时，实名认证已成为合规要求。传统方式依赖硬件设备或第三方SDK，存在成本高、灵活性差的问题。Python凭借其丰富的网络协议库（如socket、scapy）和Web框架（如Flask/Django），可低成本实现轻量级实名认证系统，兼顾功能性与可扩展性。

核心需求分析

1. 用户认证：通过手机号/学号/工号验证身份
2. 设备绑定：限制单账号多设备同时在线
3. 日志审计：记录用户上网行为（连接时间、流量）
4. 管理后台：提供用户信息查询与权限控制

二、系统架构设计

1. 整体架构

采用C/S（客户端-服务器）模式，分为以下模块：

• 认证服务器：处理用户请求，验证身份
• 数据库：存储用户信息、设备MAC地址、上网日志
• 前端页面：提供用户输入界面（H5或桌面应用）
• 网络监控：通过ARP扫描或SNMP协议获取设备信息

2. 技术选型

• 后端框架：Flask（轻量级，适合快速开发）
• 数据库：SQLite（单机部署）或MySQL（分布式场景）
• 网络协议：
  • HTTP/HTTPS：前后端通信
  • ARP协议：获取设备MAC地址
  • RADIUS协议（可选）：与企业级AP集成
• 安全组件：
  • JWT令牌：会话管理
  • 加密存储：用户密码使用bcrypt哈希

三、核心功能实现

1. 用户注册与认证

数据库设计

import sqlite3
from werkzeug.security import generate_password_hash
conn = sqlite3.connect('wifi_auth.db')
cursor = conn.cursor()
cursor.execute('''
    CREATE TABLE IF NOT EXISTS users (
        id INTEGER PRIMARY KEY AUTOINCREMENT,
        username TEXT UNIQUE NOT NULL,
        password TEXT NOT NULL,
        phone TEXT UNIQUE,
        real_name TEXT,
        status INTEGER DEFAULT 1  # 1:active, 0:banned
    )
''')
cursor.execute('''
    CREATE TABLE IF NOT EXISTS devices (
        id INTEGER PRIMARY KEY AUTOINCREMENT,
        user_id INTEGER,
        mac_address TEXT UNIQUE,
        ip_address TEXT,
        login_time DATETIME DEFAULT CURRENT_TIMESTAMP,
        FOREIGN KEY(user_id) REFERENCES users(id)
    )
''')
conn.commit()

注册接口（Flask示例）

from flask import Flask, request, jsonify
app = Flask(__name__)
@app.route('/api/register', methods=['POST'])
def register():
    data = request.json
    hashed_pw = generate_password_hash(data['password'])
    try:
        cursor.execute(
            'INSERT INTO users (username, password, phone, real_name) VALUES (?, ?, ?, ?)',
            (data['username'], hashed_pw, data['phone'], data['real_name'])
        )
        conn.commit()
        return jsonify({'message': '注册成功'}), 201
    except sqlite3.IntegrityError:
        return jsonify({'error': '用户名或手机号已存在'}), 400

2. 设备MAC地址获取与绑定

方法一：ARP扫描（需root权限）

import subprocess
def get_mac_by_ip(ip):
    try:
        result = subprocess.run(['arp', '-n', ip], capture_output=True, text=True)
        for line in result.stdout.split('\n'):
            if ip in line:
                parts = line.split()
                return parts[3]  # MAC地址通常在第4列
        return None
    except FileNotFoundError:
        print("ARP命令不可用，请检查权限")
        return None

方法二：DHCP日志分析（需配置服务器）

若使用企业级AP，可通过解析DHCP日志获取设备信息：

def parse_dhcp_log(log_path):
    devices = []
    with open(log_path, 'r') as f:
        for line in f:
            if 'DHCPACK' in line:
                # 示例日志：DHCPACK(192.168.1.100) aa:bb:cc:dd:ee:ff
                parts = line.split()
                ip = parts[1].strip('()')
                mac = parts[2]
                devices.append({'ip': ip, 'mac': mac})
    return devices

3. 认证流程实现

认证接口

from datetime import datetime
import jwt
SECRET_KEY = 'your-secret-key'
@app.route('/api/login', methods=['POST'])
def login():
    data = request.json
    cursor.execute('SELECT * FROM users WHERE username=?', (data['username'],))
    user = cursor.fetchone()
    if user and check_password_hash(user[2], data['password']):
        # 生成JWT令牌
        token = jwt.encode({
            'user_id': user[0],
            'exp': datetime.utcnow() + timedelta(hours=1)
        }, SECRET_KEY)
        return jsonify({'token': token}), 200
    else:
        return jsonify({'error': '认证失败'}), 401

上网授权

用户认证通过后，服务器需配置AP允许其访问：

1. 企业级AP：通过RADIUS协议动态下发ACL
2. 家用路由器：修改防火墙规则（需SSH或API接口）

四、安全优化与扩展功能

1. 安全措施

• HTTPS加密：使用Let's Encrypt免费证书
• 防暴力破解：限制单位时间内的认证尝试次数
• 数据脱敏：日志中存储MAC地址的哈希值而非明文

2. 扩展功能

多因素认证（MFA）

import pyotp  # 基于TOTP的动态验证码
def generate_mfa_secret(user_id):
    secret = pyotp.random_base32()
    cursor.execute(
        'UPDATE users SET mfa_secret=? WHERE id=?',
        (secret, user_id)
    )
    conn.commit()
    return secret
def verify_mfa_code(user_id, code):
    cursor.execute('SELECT mfa_secret FROM users WHERE id=?', (user_id,))
    secret = cursor.fetchone()[0]
    totp = pyotp.TOTP(secret)
    return totp.verify(code)

流量统计与限速

通过iptables或tc命令实现：

def set_bandwidth_limit(mac, limit_kbps):
    # 示例：限制MAC为aa:bb:cc:dd:ee:ff的设备带宽为1Mbps
    cmd = f'tc qdisc add dev eth0 root handle 1: htb default 12'
    subprocess.run(cmd, shell=True)
    cmd = f'tc class add dev eth0 parent 1: classid 1:12 htb rate {limit_kbps}kbit'
    subprocess.run(cmd, shell=True)
    cmd = f'tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ' \
          f'ether src aa:bb:cc:dd:ee:ff action mirred egress redirect dev eth0'
    subprocess.run(cmd, shell=True)

五、部署与运维建议

1. 容器化部署：使用Docker打包应用，便于迁移

   FROM python:3.9-slim
   WORKDIR /app
   COPY requirements.txt .
   RUN pip install -r requirements.txt
   COPY . .
   CMD ["gunicorn", "--bind", "0.0.0.0:5000", "app:app"]

2. 日志轮转：配置logrotate避免日志文件过大
3. 监控告警：通过Prometheus+Grafana监控认证成功率

六、总结与展望

Python实现的WiFi实名认证系统具有成本低、部署快的优势，适合中小企业或教育机构。未来可结合AI技术实现异常行为检测（如频繁切换IP），或与微信/支付宝对接实现“一键认证”。开发者需持续关注网络安全法规更新，确保系统合规性。

完整代码示例与依赖库：

• 源代码仓库：git clone https://github.com/your-repo/wifi-auth.git
• 依赖安装：pip install flask sqlite3 pyotp jwt

通过本文提供的方案，开发者可在3天内完成从0到1的系统搭建，满足基本实名认证需求。