Captive Portals-এর জন্য WeChat OAuth অথেন্টিকেশন কীভাবে কনফিগার করবেন

CAPTIVE PORTALS-এর জন্য কীভাবে WECHAT OAUTH অথেন্টিকেশন কনফিগার করবেন একটি Purple টেকনিক্যাল ব্রিফিং - প্রায় ১০ মিনিট --- ভূমিকা এবং প্রেক্ষাপট (প্রায় ১ মিনিট) স্বাগতম। আপনি যদি কোনো হোটেল, রিটেইল চেইন, স্টেডিয়াম বা কনফারেন্স সেন্টারে গেস্ট WiFi-এর দায়িত্বে থাকেন যা চীনা ভিজিটরদের সেবা দেয়, তবে এই ব্রিফিংটি আপনার জন্য। Tencent-এর ২০২৪ সালের ডেটা অনুযায়ী, WeChat-এর ১.৩৮ বিলিয়ন মাসিক অ্যাক্টিভ ইউজার রয়েছে। এর সিংহভাগই চীনে, তবে প্ল্যাটফর্মটির একটি উল্লেখযোগ্য আন্তর্জাতিক উপস্থিতি রয়েছে - মার্কিন যুক্তরাষ্ট্রে চার মিলিয়ন ইউজার, মালয়েশিয়ায় ১২ মিলিয়ন এবং দক্ষিণ-পূর্ব এশিয়া, ইউরোপ ও মধ্যপ্রাচ্য জুড়ে ক্রমবর্ধমান সংখ্যা। যখন একজন চীনা গেস্ট আপনার WiFi-এ কানেক্ট করেন এবং কেবল ইমেল, ফেসবুক বা ভাউচার কোড সহ একটি লগইন পেজ দেখেন, তখন তারা তাৎক্ষণিক ঘর্ষণের সম্মুখীন হন। সেই ডিভাইসে তাদের কোনো স্থানীয় ইমেল অ্যাড্রেস সেট আপ নাও থাকতে পারে। তবে তাদের প্রায় নিশ্চিতভাবেই WeChat আছে। তাই প্রশ্নটি এটি নয় যে আপনার WeChat লগইন অফার করা উচিত কিনা - বরং প্রশ্ন হলো আপনি কীভাবে এটি সঠিকভাবে, নিরাপদে এবং এমনভাবে কনফিগার করবেন যা ফার্স্ট-পার্টি ডেটা তৈরি করে যা আপনি আসলে ব্যবহার করতে পারবেন। আজ আমরা সেটিই কভার করতে যাচ্ছি। আমরা OAuth 2.0 ফ্লো, আপনার প্রয়োজনীয় দুটি প্ল্যাটফর্ম রেজিস্ট্রেশন, স্কোপের সিদ্ধান্ত যা নির্ধারণ করে আপনি কী ডেটা সংগ্রহ করবেন, নেটওয়ার্ক-সাইড এনফোর্সমেন্ট মেকানিজম এবং ২০২৬ সালে গুরুত্বপূর্ণ কমপ্লায়েন্সের বিষয়গুলো নিয়ে আলোচনা করব। --- টেকনিক্যাল ডিপ-ডাইভ (প্রায় ৫ মিনিট) চলুন আর্কিটেকচার দিয়ে শুরু করা যাক। একটি Captive Portal একটি আনঅথেন্টিকেটেড ডিভাইস থেকে HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং এটিকে একটি লগইন পেজে রিডাইরেক্ট করে। সেই লগইন পেজটি একটি পোর্টাল সার্ভারে হোস্ট করা হয় - অন-প্রিমিসেস বা ক্লাউডে। আপনি যখন WeChat OAuth যুক্ত করেন, তখন আপনি সেই ফ্লোতে একটি থার্ড-পার্টি আইডেন্টিটি প্রোভাইডার যুক্ত করছেন। এখানে সিকোয়েন্সটি দেওয়া হলো। গেস্ট আপনার SSID-এ কানেক্ট করেন। অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস কন্ট্রোলার সনাক্ত করে যে ডিভাইসটির কোনো অথেন্টিকেটেড সেশন নেই এবং সমস্ত HTTP ট্রাফিক আপনার Captive Portal URL-এ রিডাইরেক্ট করে। পোর্টাল পেজটি লোড হয় এবং WeChat সহ লগইন অপশনগুলো প্রদর্শন করে। গেস্ট WeChat লগইনে ট্যাপ করেন। আপনার পোর্টাল সার্ভার ব্রাউজারটিকে open.weixin.qq.com-এ WeChat-এর অথরাইজেশন এন্ডপয়েন্টে রিডাইরেক্ট করে, যেখানে আপনার AppID, রিডাইরেক্ট URI, কোডের রেসপন্স টাইপ এবং স্কোপ পাঠানো হয়। WeChat সম্পূর্ণভাবে নিজস্ব সার্ভারে অথেন্টিকেশন পরিচালনা করে। গেস্ট যদি ইতিমধ্যে তাদের ব্রাউজারে WeChat-এ লগইন করে থাকেন, তবে তারা একটি কনসেন্ট স্ক্রিন দেখতে পান। তারা যদি WeChat ইন-অ্যাপ ব্রাউজার ব্যবহার করেন, তবে অভিজ্ঞতাটি snsapi_base স্কোপের সাথে নীরব হতে পারে - কোনো কনসেন্ট প্রম্পট ছাড়াই। WeChat তারপর একটি অস্থায়ী অথরাইজেশন কোড সহ আপনার পোর্টালটির রিডাইরেক্ট URI-তে ফেরত পাঠায়। আপনার পোর্টাল সার্ভার api.weixin.qq.com/sns/oauth2/access_token কল করে সেই কোডটি একটি অ্যাক্সেস টোকেনের জন্য এক্সচেঞ্জ করে, যেখানে আপনার AppID, AppSecret, কোড এবং authorization_code-এর গ্রান্ট টাইপ পাঠানো হয়। WeChat একটি অ্যাক্সেস টোকেন, একটি রিফ্রেশ টোকেন, ইউজারের OpenID এবং মঞ্জুর করা স্কোপ রিটার্ন করে। আপনি যদি snsapi_userinfo স্কোপের জন্য অনুরোধ করে থাকেন, তবে আপনি ইউজারের নিকনেম, অ্যাভাটার, জেন্ডার এবং শহর পুনরুদ্ধার করতে একটি দ্বিতীয় API কল করতে পারেন। এখন, দুটি প্ল্যাটফর্ম রেজিস্ট্রেশন। এখানেই বেশিরভাগ ইমপ্লিমেন্টেশন ভুল হয়। WeChat-এর দুটি আলাদা ডেভেলপার প্ল্যাটফর্ম রয়েছে। open.weixin.qq.com-এ WeChat Open Platform ওয়েবসাইট অ্যাপ্লিকেশন এবং মোবাইল অ্যাপ পরিচালনা করে। mp.weixin.qq.com-এ WeChat Official Accounts Platform পাবলিক অ্যাকাউন্ট পরিচালনা করে - যা বেশিরভাগ ভেন্যুর আসলে প্রয়োজন। WeChat ইন-অ্যাপ ব্রাউজারের ভেতরে গেস্টদের সেবা প্রদানকারী একটি Captive Portal-এর জন্য, আপনার Official Accounts Platform-এ একটি Service Account প্রয়োজন। একটি Subscription Account কাজ করবে না - এটিতে OAuth ওয়েব পেজ অথরাইজেশন পারমিশন নেই। একটি Service Account-এ এটি আছে এবং এটি snsapi_base এবং snsapi_userinfo উভয় স্কোপই সাপোর্ট করে। WeChat-এর বাইরে একটি স্ট্যান্ডার্ড মোবাইল ব্রাউজার থেকে অ্যাক্সেস করা Captive Portal-এর জন্য - Android-এ Chrome, iOS-এ Safari - আপনার Open Platform-এ রেজিস্টার করা একটি Website Application প্রয়োজন। এটি snsapi_login স্কোপ ব্যবহার করে এবং একটি QR কোড প্রদর্শন করে যা ইউজার তাদের WeChat অ্যাপ দিয়ে স্ক্যান করেন। বাস্তবে, বেশিরভাগ ভেন্যু ইমপ্লিমেন্টেশনে উভয়ই ব্যবহার করা হয়। একটি হোটেলের WiFi-এ থাকা একজন গেস্ট Chrome-এ পোর্টালটি ওপেন করতে পারেন, একটি QR কোড দেখতে পারেন, এটি WeChat দিয়ে স্ক্যান করতে পারেন এবং অথেন্টিকেট করতে পারেন। অথবা তারা WeChat-এর ভেতরেই একটি লিঙ্ক অনুসরণ করতে পারেন, ইন-অ্যাপ ব্রাউজারে পৌঁছাতে পারেন এবং snsapi_base-এর মাধ্যমে নীরবে অথেন্টিকেট করতে পারেন। চলুন স্কোপ সিলেকশন নিয়ে কথা বলি, কারণ এটি একটি আসল সিদ্ধান্তের জায়গা। snsapi_base কেবল OpenID রিটার্ন করে - যা আপনার Official Account-এর মধ্যে সেই ইউজারের জন্য একটি ইউনিক আইডেন্টিফায়ার। এর জন্য কোনো ইউজার কনসেন্ট প্রম্পটের প্রয়োজন হয় না। অথেন্টিকেশনটি ইউজারের কাছে অদৃশ্য থাকে। এটি ফিরে আসা গেস্টদের জন্য আদর্শ যাদের প্রোফাইল আপনি ইতিমধ্যে তৈরি করেছেন, অথবা এমন ভেন্যুগুলোর জন্য যেখানে আপনি নতুন ডেটা সংগ্রহের চেয়ে শূন্য ঘর্ষণকে অগ্রাধিকার দিতে চান। snsapi_userinfo OpenID-এর পাশাপাশি ইউজারের WeChat নিকনেম, profile picture, জেন্ডার, ল্যাঙ্গুয়েজ সেটিং এবং শহর রিটার্ন করে। এর জন্য একটি স্পষ্ট কনসেন্ট স্ক্রিনের প্রয়োজন হয়। ইউজার একটি প্রম্পট দেখতে পান যেখানে জিজ্ঞাসা করা হয় যে তারা আপনার Official Account-কে তাদের তথ্য অ্যাক্সেস করার অনুমতি দিচ্ছেন কিনা। বেশিরভাগ ইউজার এটি গ্রহণ করেন, তবে এতে ঘর্ষণ থাকে। সঠিক পছন্দটি আপনার ব্যবহারের ক্ষেত্রের ওপর নির্ভর করে। প্রথমবার গেস্ট রেজিস্ট্রেশনের জন্য যেখানে আপনি একটি প্রোফাইল তৈরি করতে চান, সেখানে snsapi_userinfo ব্যবহার করুন এবং আপনার পোর্টাল পেজে একটি GDPR-কমপ্লায়েন্ট কনসেন্ট লেয়ারের সাথে এটি যুক্ত করুন। ফিরে আসা গেস্টদের জন্য যারা ইতিমধ্যে সম্মতি দিয়েছেন এবং যাদের প্রোফাইল আপনার কাছে ইতিমধ্যে রয়েছে, তাদের নীরব রি-অথেন্টিকেশনের জন্য snsapi_base ব্যবহার করুন। এখন, নেটওয়ার্ক এনফোর্সমেন্ট সাইড। একটি OAuth টোকেন পাওয়া আইডেন্টিটি প্রমাণ করে, কিন্তু এটি স্বয়ংক্রিয়ভাবে নেটওয়ার্ক ওপেন করে না। সফল অথেন্টিকেশনকে নেটওয়ার্ক অ্যাক্সেসে রূপান্তর করার জন্য আপনার একটি মেকানিজম প্রয়োজন। দুটি স্ট্যান্ডার্ড পদ্ধতি হলো RADIUS Change of Authorisation, যা RFC 3576-এ সংজ্ঞায়িত এবং MAC অ্যাড্রেস বাইপাস। RADIUS CoA-এর মাধ্যমে, সফল OAuth-এর পর আপনার পোর্টাল সার্ভার নেটওয়ার্ক কন্ট্রোলারে একটি CoA রিকোয়েস্ট পাঠায় এবং কন্ট্রোলার ডিভাইসটিকে আনঅথেন্টিকেটেড VLAN থেকে গেস্ট VLAN-এ স্থানান্তর করে। এটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist এবং বেশিরভাগ এন্টারপ্রাইজ-গ্রেড কন্ট্রোলারের সাথে কাজ করে। MAC বাইপাসের মাধ্যমে, পোর্টাল সার্ভার ডিভাইসের MAC অ্যাড্রেসটিকে একটি অথরাইজড ক্লায়েন্ট হিসেবে রেজিস্টার করে এবং কন্ট্রোলার এটিকে অনুমতি দেয়। MAC বাইপাস ইমপ্লিমেন্ট করা সহজ কিন্তু কম নিরাপদ, কারণ MAC অ্যাড্রেস স্পুফ করা যেতে পারে। Purple-এর Guest WiFi প্ল্যাটফর্ম উভয় মেকানিজমই পরিচালনা করে। WeChat OAuth সম্পন্ন হওয়ার পর, Purple-এর ক্লাউড ওভারলে অন্তর্নিহিত হার্ডওয়্যারে - তা Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme বা Fortinet যাই হোক না কেন - উপযুক্ত সিগন্যাল পাঠায়। ভেন্যু অপারেটরকে ম্যানুয়ালি সেই রূপান্তর পরিচালনা করতে হয় না। --- ইমপ্লিমেন্টেশন সুপারিশ এবং ত্রুটিসমূহ (প্রায় ২ মিনিট) আমি আপনাকে এমন পাঁচটি বিষয় বলি যা WeChat OAuth Captive Portal ইমপ্লিমেন্টেশন ব্যর্থ হওয়ার কারণ হতে পারে। প্রথম: রিডাইরেক্ট URI অমিল। প্ল্যাটফর্মে আপনার রেজিস্টার করা অথরাইজড ডোমেইনের সাথে WeChat রিডাইরেক্ট URI যাচাই করে। আপনার পোর্টাল সার্ভার যদি অন্য কোনো সাবডোমেন, অন্য কোনো পাথ বা HTTPS-এর পরিবর্তে HTTP ব্যবহার করে, তবে OAuth ফ্লোটি error 40029 - invalid code সহ ব্যর্থ হয়। স্টেজিং এনভায়রনমেন্ট সহ আপনার ব্যবহৃত প্রতিটি ডোমেন ভেরিয়েন্ট রেজিস্টার করুন। দ্বিতীয়: ক্লায়েন্ট সাইডে AppSecret। আপনার AppSecret কখনই ক্লায়েন্ট-সাইড JavaScript বা কোনো মোবাইল অ্যাপ বাইনারিতে থাকা উচিত নয়। এটি আপনার সার্ভারে থাকা উচিত। এটি যদি উন্মুক্ত হয়ে যায়, তবে যে কেউ আপনার অ্যাপ্লিকেশনের ছদ্মবেশ ধারণ করতে পারে এবং আপনার পক্ষে WeChat-এর API কল করতে পারে। তৃতীয়: অনুপস্থিত CSRF সুরক্ষা। OAuth রিকোয়েস্টে স্টেট প্যারামিটারটি বিশেষভাবে ক্রস-সাইট রিকোয়েস্ট ফোরজারি প্রতিরোধ করার জন্য থাকে। একটি ক্রিপ্টোগ্রাফিকভাবে র্যান্ডম স্টেট ভ্যালু তৈরি করুন, এটি ইউজারের সেশনে সংরক্ষণ করুন এবং WeChat রিডাইরেক্ট করার সময় এটি যাচাই করুন। এটি বাদ দিলে আপনার একটি বাস্তব দুর্বলতা থেকে যাবে। চতুর্থ: ইন-অ্যাপ ব্রাউজার ডিটেকশন গ্যাপ। WeChat-এর ইন-অ্যাপ ব্রাউজার "MicroMessenger" ধারণকারী একটি নির্দিষ্ট ইউজার এজেন্ট স্ট্রিং সেট করে। আপনার পোর্টাল যদি এটি সনাক্ত করতে না পারে এবং সঠিক OAuth ফ্লো পরিবেশন না করে - ইন-অ্যাপ ব্রাউজারের জন্য Official Account ফ্লো, স্ট্যান্ডার্ড ব্রাউজারের জন্য Open Platform QR ফ্লো - তবে ইউজাররা একটি ত্রুটিপূর্ণ অভিজ্ঞতা বা এরর পাবেন। পঞ্চম: GDPR এবং PIPL সামঞ্জস্য। আপনি যদি ইউরোপীয় ভিজিটরদের সেবা দেন, তবে WeChat OAuth-এর মাধ্যমে আপনার সংগ্রহ করা ডেটার ক্ষেত্রে GDPR প্রযোজ্য হবে। আপনি যদি চীনা ভিজিটরদের সেবা দেন, তবে চীনের Personal Information Protection Law - PIPL - তাদের ডেটা প্রসেস করার ক্ষেত্রে প্রযোজ্য হবে। উভয়ের জন্যই প্রসেসিংয়ের জন্য একটি বৈধ আইনি ভিত্তি, স্পষ্ট উদ্দেশ্যের সীমাবদ্ধতা এবং ডেটা মিনিমাইজেশন প্রয়োজন। snsapi_base-কে ডেটা মিনিমাইজেশন নীতির অধীনে snsapi_userinfo-এর চেয়ে সমর্থন করা সহজ। আপনি যা-ই সংগ্রহ করুন না কেন, আপনার আইনি ভিত্তি এবং আপনার রিটেনশন পিরিয়ড ডকুমেন্ট করুন। --- র‌্যাপিড-ফায়ার প্রশ্নোত্তর (প্রায় ১ মিনিট) প্রশ্ন: আমি কি এমন একটি পোর্টালে WeChat লগইন ব্যবহার করতে পারি যা ইমেল এবং SMS লগইনও অফার করে? হ্যাঁ। Purple সহ বেশিরভাগ এন্টারপ্রাইজ পোর্টাল প্ল্যাটফর্ম একই পোর্টাল পেজে একাধিক অথেন্টিকেশন পদ্ধতি সাপোর্ট করে। WeChat অন্যান্য অপশনের পাশাপাশি একটি অপশন হিসেবে উপস্থিত হয়। প্রশ্ন: WeChat OAuth কি iOS-এ কাজ করে? হ্যাঁ, তবে একটি সূক্ষ্ম বিষয় আছে। Apple-এর App Tracking Transparency ফ্রেমওয়ার্ক সার্ভার-সাইড OAuth ফ্লোকে প্রভাবিত করে না। iOS-এ Safari-তে WeChat লগইন QR কোড ফ্লো বা রিডাইরেক্ট ফ্লোর মাধ্যমে কাজ করে। WeChat অ্যাপ নিজেই অথেন্টিকেশন পরিচালনা করে। প্রশ্ন: WeChat-এর API অনুপলব্ধ হলে কী হবে? আপনার পোর্টালের একটি ফলব্যাক ইমপ্লিমেন্ট করা উচিত। WeChat API কল টাইম আউট হলে বা কোনো এরর রিটার্ন করলে, ইউজারকে একটি বিকল্প লগইন পদ্ধতিতে রিডাইরেক্ট করুন। তাদের একটি ফাঁকা স্ক্রিন দেখাবেন না। প্রশ্ন: আমি কি OpenID-কে একটি স্থায়ী কাস্টমার আইডেন্টিফায়ার হিসেবে ব্যবহার করতে পারি? আপনার Official Account-এর মধ্যে, হ্যাঁ। OpenID একজন নির্দিষ্ট ইউজার এবং একটি নির্দিষ্ট Official Account-এর জন্য স্থিতিশীল। আপনার যদি একাধিক Official Account থাকে, তবে একই ইউজারের সেগুলোতে আলাদা আলাদা OpenID থাকবে। ক্রস-অ্যাকাউন্ট আইডেন্টিটি রেজোলিউশনের জন্য, WeChat একটি UnionID প্রদান করে, যার জন্য আপনার অ্যাকাউন্টগুলোকে Open Platform-এ লিঙ্ক করতে হবে। --- সংক্ষিপ্তসার এবং পরবর্তী পদক্ষেপ (প্রায় ১ মিনিট) সংক্ষেপে বলতে গেলে। Captive Portals-এর জন্য WeChat OAuth অথেন্টিকেশন হলো একটি দুই-প্ল্যাটফর্ম রেজিস্ট্রেশন অনুশীলন, একটি স্কোপের সিদ্ধান্ত, একটি নেটওয়ার্ক এনফোর্সমেন্ট ইন্টিগ্রেশন এবং একটি কমপ্লায়েন্স রিভিউ। এই চারটি জিনিস সঠিকভাবে করুন এবং আপনার কাছে এমন একটি লগইন পদ্ধতি থাকবে যা কোনো পাসওয়ার্ডের ঘর্ষণ ছাড়াই এক বিলিয়নেরও বেশি সম্ভাব্য ভিজিটরকে সেবা দেবে। বাস্তবসম্মত পরবর্তী পদক্ষেপগুলো হলো। প্রথমত, আপনার ভিজিটররা WeChat ইন-অ্যাপ ব্রাউজারের ভেতরে নাকি স্ট্যান্ডার্ড মোবাইল ব্রাউজারে পোর্টালটির মুখোমুখি হচ্ছেন তা নির্ধারণ করুন - এটি নির্ধারণ করে আপনার কোন প্ল্যাটফর্ম রেজিস্ট্রেশন প্রয়োজন। দ্বিতীয়ত, স্কোপ নির্ধারণ করুন - ফিরে আসা গেস্টদের জন্য snsapi_base, সম্মতির সাথে প্রথমবার রেজিস্ট্রেশনের জন্য snsapi_userinfo। তৃতীয়ত, আপনার নেটওয়ার্ক হার্ডওয়্যার RADIUS CoA সাপোর্ট করে কিনা তা নিশ্চিত করুন অথবা বিকল্প হিসেবে MAC বাইপাস কনফিগার করুন। চতুর্থত, GDPR এবং PIPL প্রয়োজনীয়তার বিপরীতে আপনার প্রাইভেসি নোটিশ এবং কনসেন্ট ফ্লো পর্যালোচনা করুন। পঞ্চমত, লাইভ হওয়ার আগে রিডাইরেক্ট URI, স্টেট প্যারামিটার ভ্যালিডেশন এবং ইন-অ্যাপ ব্রাউজার ডিটেকশন টেস্ট করুন। আপনি যদি দেখতে চান যে কীভাবে Purple একটি বৃহত্তর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্মের অংশ হিসেবে WeChat OAuth পরিচালনা করে - ২০২৪ সালে ৮০,০০০ ভেন্যু এবং ৪৪০ মিলিয়ন লগইন জুড়ে - তবে purple.ai ভিজিট করুন বা আপনার অ্যাকাউন্ট টিমের সাথে কথা বলুন। শোনার জন্য ধন্যবাদ। --- স্ক্রিপ্ট সমাপ্ত