How to Configure WeChat OAuth Authentication for Captive Portals
এই টেকনিক্যাল গাইডটিতে Captive Portals-এর জন্য WeChat OAuth অথেন্টিকেশন কীভাবে কনফিগার করতে হয় তা ব্যাখ্যা করা হয়েছে। এতে চীনা ভিজিটরদের কাছ থেকে নিরাপদে ফার্স্ট-পার্টি ডেটা সংগ্রহ করার জন্য প্রয়োজনীয় প্ল্যাটফর্ম রেজিস্ট্রেশন, OAuth 2.0 ফ্লো, স্কোপ সিলেকশন এবং নেটওয়ার্ক এনফোর্সমেন্ট মেকানিজম বিস্তারিতভাবে আলোচনা করা হয়েছে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন

执行摘要
当中国访客连接到您的 WiFi 时,如果登录页面仅提供电子邮件或 Facebook 登录,会立即产生使用阻碍。微信拥有 13.8 亿月活跃用户,将其配置为身份提供商可以消除这一障碍。本指南将阐述如何为 Captive Portal 实现微信 OAuth 2.0 认证,详细介绍必要的平台注册、OAuth 流程以及将成功登录转化为网络访问所需的网络强制执行机制。我们将涵盖企业级硬件的技术实现,以及 GDPR 和《个人信息保护法》(PIPL)下的合规要求。
技术架构
Captive Portal 会拦截来自未认证设备的 HTTP 流量,并将其重定向到托管在门户服务器上的登录页面。当您集成微信 OAuth 时,即是在此流程中插入了一个第三方身份提供商。

具体交互步骤如下:
- 访客连接到 SSID。
- 无线接入点(AP)或无线控制器检测到缺乏已认证的会话,并将 HTTP 流量重定向到 Captive Portal URL。
- 访客选择微信登录。
- 门户服务器将浏览器重定向到微信的授权端点(
open.weixin.qq.com),并传递AppID、redirect_uri、response_type=code和scope。 - 微信处理身份验证。如果访客在微信内置浏览器中使用
snsapi_base作用域,此过程将静默进行。 - 微信携带临时授权码重定向回门户的
redirect_uri。 - 门户服务器通过调用
api.weixin.qq.com/sns/oauth2/access_token,用该授权码换取访问令牌。 - 微信返回
access_token、refresh_token以及用户的openid。
平台注册要求
实现微信登录需要在正确的开发者平台上进行注册。微信运营着两个不同的平台,选择错误的平台会导致集成失败。
微信公众平台
对于在微信内置浏览器中为访客提供服务的 Captive Portal,您需要在微信公众平台(mp.weixin.qq.com)上注册一个服务号。订阅号缺少必要的 OAuth 网页授权权限。服务号同时支持 snsapi_base 和 snsapi_userinfo 作用域。
微信开放平台
对于从微信外部的标准移动浏览器(例如 Android 上的 Chrome 或 iOS 上的 Safari)访问的 Captive Portal,您需要一个在开放平台(open.weixin.qq.com)注册的网站应用。这使用 snsapi_login 作用域,并呈现一个供用户使用其微信应用扫描的二维码。
大多数企业部署都需要进行这两种注册,以覆盖所有访问方式。
作用域选择与数据收集
作用域参数决定了微信返回给您门户服务器的数据。这一决定会同时影响用户摩擦和数据隐私合规性。

snsapi_base
此作用域仅返回 OpenID,即您公众号内用户的唯一标识符。它不需要用户授权提示,从而使身份验证对用户无感。这对于您已拥有其个人资料的回访访客,或者对于将零摩擦置于新数据收集之上的场所来说是最佳选择。
snsapi_userinfo
此作用域返回 OpenID 以及用户的微信昵称、头像、性别、语言设置和城市。它需要一个明确的授权页面,从而引入了摩擦。在需要建立个人资料的首次访客注册中,请使用此作用域,并配合符合 GDPR 的授权层。
网络强制执行集成
获取 OAuth 令牌可以证明身份,但它并不能打开网络。您必须使用标准协议将成功的身份验证转化为网络访问。
RADIUS 授权变更 (CoA)
在 IEEE 802.1X 和 RFC 3576 中定义的 RADIUS CoA 允许门户服务器在 OAuth 成功后向网络控制器发送请求。然后,控制器将设备从未经身份验证的 VLAN 移动到访客 VLAN。这是包括 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist 在内的企业级硬件的标准配置。
MAC 地址旁路
或者,门户服务器将设备的 MAC 地址注册为已授权客户端,然后控制器允许其访问。虽然实现起来更简单,但由于 MAC 地址可以被伪造,因此安全性较低。
Purple 的云覆盖技术可自动完成此转换,在微信 OAuth 完成后向底层硬件(包括 Ubiquiti UniFi、Cambium、Extreme 和 Fortinet)发送相应的信号。
合规与安全考量
GDPR 与 PIPL 对齐
如果您为欧洲访客提供服务,GDPR 适用于通过微信 OAuth 收集的数据。如果您为中国访客提供服务,则适用中国《个人信息保护法》(PIPL)。这两个框架都要求处理具有合法基础、明确的目的限制和数据最小化。相比 snsapi_userinfo,snsapi_base 作用域更容易符合数据最小化原则。
CSRF 防护
OAuth 请求中的 state 参数可防止跨站请求伪造。您必须生成一个加密随机的 state 值,将其存储在用户会话中,并在微信重定向返回时对其进行验证。
重定向 URI 验证
微信会根据在平台上注册的授权域名验证 redirect_uri。如果您的门户服务器使用不同的子域名、路径或使用 HTTP 代替 HTTPS,则 OAuth 流程将失败并报错 40029。
有关保护网络的更多信息,请参阅我们的 Enterprise WiFi Security: A Complete Guide for 2026 。
মূল সংজ্ঞাসমূহ
snsapi_base
একটি WeChat OAuth স্কোপ যা কোনো কনসেন্ট প্রম্পট প্রদর্শন না করেই কেবল ইউজারের OpenID রিটার্ন করে।
আইটি টিম যখন লগইন ঘর্ষণ না ঘটিয়ে ফিরে আসা ভিজিটরদের নীরবে অথেন্টিকেট করতে চায় তখন ব্যবহৃত হয়।
snsapi_userinfo
একটি WeChat OAuth স্কোপ যা OpenID-এর পাশাপাশি ডেমোগ্রাফিক ডেটা (নিকনেম, জেন্ডার, শহর) রিটার্ন করে এবং এর জন্য ইউজারের স্পষ্ট সম্মতির প্রয়োজন হয়।
প্রথমবার রেজিস্ট্রেশনের সময় ব্যবহৃত হয় যখন মার্কেটিং টিম একটি ভিজিটর প্রোফাইল তৈরি করতে চায়।
OpenID
একটি নির্দিষ্ট WeChat Official Account-এর মধ্যে একজন নির্দিষ্ট ইউজারের জন্য একটি ইউনিক আইডেন্টিফায়ার।
ভিজিটরের আচরণ এবং পুনরায় ভিজিট ট্র্যাক করতে পোর্টাল ডাটাবেসে প্রাইমারি কি হিসেবে ব্যবহৃত হয়।
RADIUS CoA
Change of Authorisation। RFC 3576-এ সংজ্ঞায়িত একটি মেকানিজম যা একটি সার্ভারকে একটি অ্যাক্টিভ সেশনের অথরাইজেশন স্টেট পরিবর্তন করার অনুমতি দেয়।
সফল WeChat অথেন্টিকেশনের পর ওয়্যারলেস কন্ট্রোলারকে নেটওয়ার্ক অ্যাক্সেস দেওয়ার কথা জানাতে পোর্টাল সার্ভার দ্বারা ব্যবহৃত হয়।
PIPL
Personal Information Protection Law। চীনের ব্যাপক ডেটা প্রাইভেসি রেগুলেশন।
WeChat লগইন ব্যবহারকারী চীনা ভিজিটরদের জন্য কনসেন্ট ফ্লো ডিজাইন করার সময় GDPR-এর পাশাপাশি অবশ্যই বিবেচনা করা উচিত।
AppID and AppSecret
আপনার অ্যাপ্লিকেশনটিকে সনাক্ত এবং অথেন্টিকেট করার জন্য WeChat দ্বারা প্রদত্ত ক্রেডেনশিয়াল।
AppSecret অবশ্যই পোর্টাল সার্ভারে নিরাপদে থাকতে হবে এবং ক্লায়েন্ট-সাইড কোডে কখনই প্রকাশ করা যাবে না।
State Parameter
একটি ক্রিপ্টোগ্রাফিকভাবে র্যান্ডম স্ট্রিং যা OAuth রিকোয়েস্টে পাঠানো হয় এবং ফিরে আসার সময় যাচাই করা হয়।
Captive Portal-এ ক্রস-সাইট রিকোয়েস্ট ফোরজারি (CSRF) অ্যাটাক প্রতিরোধ করার জন্য অপরিহার্য।
MAC Address Bypass
802.1X অথেন্টিকেশনের প্রয়োজন না রেখে ডিভাইসের হার্ডওয়্যার অ্যাড্রেস অথরাইজ করার মাধ্যমে নেটওয়ার্ক অ্যাক্সেস দেওয়ার একটি পদ্ধতি।
সহজ নেটওয়ার্ক সেটআপের জন্য RADIUS CoA-এর একটি বিকল্প, যদিও এটি কম নিরাপদ।
সমাধানকৃত উদাহরণসমূহ
লন্ডনের একটি লাক্সারি রিটেইল ব্র্যান্ড চীনা ক্রেতাদের জন্য WeChat লগইন সুবিধা দিতে চায়। তারা তাদের কাস্টমার বেস বোঝার জন্য ডেমোগ্রাফিক ডেটা সংগ্রহ করতে চায়, কিন্তু তারা GDPR কমপ্লায়েন্স এবং পোর্টালে উচ্চ ড্রপ-অফ রেট নিয়ে চিন্তিত।
রিটেইলারের উচিত WeChat Official Accounts Platform-এ একটি Service Account রেজিস্টার করা। ডেমোগ্রাফিক ডেটা (নিকনেম, জেন্ডার, শহর) সংগ্রহ করতে প্রথমবার কানেকশনের জন্য তাদের পোর্টালটিকে snsapi_userinfo স্কোপ ব্যবহার করার জন্য কনফিগার করতে হবে। GDPR কমপ্লায়েন্স নিশ্চিত করতে, WeChat রিডাইরেক্টের আগে পোর্টাল পেজে একটি স্পষ্ট, সচেতন-পছন্দের অপ্ট-ইন প্রদর্শন করতে হবে, যেখানে ঠিক কী ডেটা সংগ্রহ করা হচ্ছে এবং কেন করা হচ্ছে তা ব্যাখ্যা করা থাকবে। ফিরে আসা ক্রেতাদের জন্য, পোর্টালটির উচিত MAC অ্যাড্রেস সনাক্ত করা এবং ঘর্ষণ কমাতে নীরব রি-অথেন্টিকেশনের জন্য snsapi_base ব্যবহার করা।
একটি স্টেডিয়াম HPE Aruba কন্ট্রোলার ব্যবহার করে একটি নতুন WiFi নেটওয়ার্ক স্থাপন করেছে। তারা WeChat OAuth কনফিগার করেছে এবং পোর্টালটি সফলভাবে অ্যাক্সেস টোকেন পেয়েছে, কিন্তু ভিজিটরের ডিভাইসটি Captive Portal পেজেই আটকে আছে এবং ইন্টারনেট অ্যাক্সেস করতে পারছে না।
ইন্টিগ্রেশনটিতে একটি নেটওয়ার্ক এনফোর্সমেন্ট মেকানিজমের অভাব রয়েছে। পোর্টাল সার্ভারটি WeChat-এর মাধ্যমে ইউজারের আইডেন্টিটি যাচাই করেছে, কিন্তু এটি HPE Aruba কন্ট্রোলারকে অ্যাক্সেস দেওয়ার জন্য নির্দেশ দেয়নি। কন্ট্রোলারে একটি RADIUS Change of Authorisation (CoA) মেসেজ পাঠানোর জন্য পোর্টাল সার্ভারটিকে কনফিগার করতে হবে, যা ইউজারটির MAC অ্যাড্রেসকে প্রি-অথেন্টিকেশন রোল থেকে অথেন্টিকেটেড গেস্ট রোলে স্থানান্তর করার নির্দেশ দেবে।
অনুশীলনী প্রশ্নসমূহ
Q1. আপনি একটি রিটেইল চেইন জুড়ে একটি Captive Portal স্থাপন করছেন। টেস্টিং-এ দেখা গেছে যে iOS-এ Safari-তে পোর্টালটি ওপেন করা ইউজাররা WeChat লগইন সিলেক্ট করার সময় একটি এরর পাচ্ছেন, কিন্তু WeChat মেসেজ লিঙ্কের ভেতর থেকে পোর্টালটি ওপেন করা ইউজাররা সফলভাবে অথেন্টিকেট হচ্ছেন। এর সম্ভাব্য কারণ কী?
ইঙ্গিত: WeChat ইন-অ্যাপ ব্রাউজার এবং স্ট্যান্ডার্ড মোবাইল ব্রাউজারের মধ্যে পার্থক্য বিবেচনা করুন।
মডেল উত্তর দেখুন
ইমপ্লিমেন্টেশনটি সম্ভবত শুধুমাত্র Official Accounts Platform-এ রেজিস্টার করা একটি Service Account-এর ওপর নির্ভর করছে, যা কেবল WeChat ইন-অ্যাপ ব্রাউজারের ভেতরেই OAuth সাপোর্ট করে। iOS-এ Safari সাপোর্ট করতে, আপনাকে অবশ্যই WeChat Open Platform-এ একটি Website Application রেজিস্টার করতে হবে এবং Safari ইউজারদের QR কোড ফ্লোতে রাউট করার জন্য ইউজার এজেন্ট ডিটেকশন ইমপ্লিমেন্ট করতে হবে।
Q2. অ্যাক্সেস টোকেন এক্সচেঞ্জের সময় WeChat API থেকে আপনার পোর্টাল সার্ভার লগে ঘন ঘন 40029 'invalid code' এরর দেখা যাচ্ছে। আপনার প্রথমে কোন কনফিগারেশনটি চেক করা উচিত?
ইঙ্গিত: WeChat কীভাবে অথেন্টিকেশন রিকোয়েস্টের সোর্স যাচাই করে তা নিয়ে ভাবুন।
মডেল উত্তর দেখুন
আপনার redirect_uri কনফিগারেশনটি যাচাই করা উচিত। ডেভেলপার কনসোলে রেজিস্টার করা অথরাইজড ডোমেইনের সাথে WeChat কঠোরভাবে রিডাইরেক্ট URI যাচাই করে। পোর্টালটি যদি অন্য কোনো সাবডোমেন ব্যবহার করে, অথবা এটি যদি HTTPS বাদ দেয়, তবে WeChat কোড এক্সচেঞ্জ রিজেক্ট করবে।
Q3. একটি ভেন্যু অপারেটর ভিজিটর ডেটা সংগ্রহ করতে চায় কিন্তু লগইন প্রক্রিয়ার সময় কোনো ঘর্ষণ না রাখার জন্য জোর দিচ্ছে। তারা আপনাকে কোনো কনসেন্ট প্রম্পট না দেখিয়ে ভিজিটরের নিকনেম এবং শহর সংগ্রহ করার জন্য WeChat লগইন কনফিগার করার অনুরোধ করেছে। আপনি কীভাবে প্রতিক্রিয়া জানাবেন?
ইঙ্গিত: বিভিন্ন OAuth স্কোপের কার্যকারিতা পর্যালোচনা করুন।
মডেল উত্তর দেখুন
আপনাকে অপারেটরকে জানাতে হবে যে এটি টেকনিক্যালি অসম্ভব। নিকনেম এবং শহরের মতো ডেমোগ্রাফিক ডেটা সংগ্রহের জন্য snsapi_userinfo স্কোপের প্রয়োজন হয়, যা বাধ্যতামূলকভাবে একটি WeChat কনসেন্ট প্রম্পট ট্রিগার করে। কোনো ঘর্ষণ ছাড়া এটি করতে হলে আপনাকে অবশ্যই snsapi_base ব্যবহার করতে হবে, যা নীরবে কাজ করে কিন্তু কেবল OpenID রিটার্ন করে।
এই সিরিজে পড়া চালিয়ে যান
Ruijie-এর জন্য ক্যাপটিভ পোর্টাল: Purple গেস্ট WiFi-এর সাথে এটি সেট আপ করুন
কীভাবে Purple-এর ক্লাউড গেস্ট WiFi ওয়েব অথেনটিকেশন এবং RADIUS ব্যবহার করে Ruijie RG Series অ্যাক্সেস পয়েন্টের উপরে কাজ করে, যা কমান্ড লাইন থেকে কনফিগার করা হয় এবং সঠিক সেটআপ ধাপগুলো কোথায় পাওয়া যাবে।
B2B Captive Portals ডিজাইন করা: নিবন্ধিত নাম এবং কোম্পানির ডেটা সংগ্রহ করা
এই নির্দেশিকাটি IT ম্যানেজার এবং ভেন্যু অপারেটরদের B2B captive portals ডিজাইন করার জন্য একটি ভেন্ডর-নিরপেক্ষ প্রযুক্তিগত কাঠামো প্রদান করে। এটি নিবন্ধিত নাম এবং কোম্পানির ডেটা ক্যাপচার করার জন্য কীভাবে রেজিস্ট্রেশন ফিল্ড গঠন করা যায় তা বিস্তারিত ব্যাখ্যা করে, যা GDPR সম্মতি বজায় রেখে এবং অ্যাকাউন্ট-স্তরের ইন্টেলিজেন্স তৈরি করার পাশাপাশি উচ্চ সমাপ্তির হার নিশ্চিত করে।
ক্যাপটিভ পোর্টাল আর্কিটেকচার: নিরাপত্তা, রিডাইরেকশন এবং সর্বোত্তম অনুশীলনসমূহ
এন্টারপ্রাইজ ক্যাপটিভ পোর্টাল আর্কিটেকচারের উপর একটি সুনির্দিষ্ট প্রযুক্তিগত রেফারেন্স। এই গাইডটি সুরক্ষিত, ডেটা-সমৃদ্ধ গেস্ট WiFi নেটওয়ার্ক স্থাপনকারী IT লিডারদের জন্য নেটওয়ার্ক আইসোলেশন, DNS রিডাইরেকশন, RADIUS অথেন্টিকেশন এবং সিকিউরিটি কমপ্লায়েন্স উন্মোচন করে।