Saltar al contenido principal
Español

Cómo configurar la autenticación OAuth de WeChat para Captive Portals

Esta guía técnica explica cómo configurar la autenticación OAuth de WeChat para captive portals. Detalla los registros de plataforma requeridos, el flujo de OAuth 2.0, la selección de alcance (scope) y los mecanismos de aplicación de red necesarios para capturar de forma segura datos de primera mano de los visitantes chinos.

📖 4 min de lectura📝 815 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
CÓMO CONFIGURAR LA AUTENTICACIÓN OAUTH DE WECHAT PARA CAPTIVE PORTALS Un informe técnico de Purple - Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Bienvenido. Si es responsable del WiFi para invitados en un hotel, cadena de tiendas, estadio o centro de conferencias que atiende a visitantes chinos, este informe es para usted. WeChat tiene 1.380 millones de usuarios activos mensuales, según los datos de Tencent de 2024. La gran mayoría se encuentra en China, pero la plataforma también tiene una presencia internacional significativa: cuatro millones de usuarios en los Estados Unidos, 12 millones en Malasia y un número creciente en el sudeste asiático, Europa y Oriente Medio. Cuando un invitado chino se conecta a su WiFi y ve una página de inicio de sesión que solo ofrece correo electrónico, Facebook o un código de cupón, se enfrenta a una fricción inmediata. Es posible que no tenga una dirección de correo electrónico local configurada en ese dispositivo. Pero es casi seguro que tiene WeChat. Por lo tanto, la pregunta no es si debe ofrecer el inicio de sesión con WeChat, sino cómo configurarlo correctamente, de forma segura y de manera que genere datos de primera mano que realmente pueda utilizar. Eso es lo que vamos a cubrir hoy. Repasaremos el flujo de OAuth 2.0, los dos registros de plataforma que necesita, la decisión sobre el alcance (scope) que determina qué datos recopila, el mecanismo de aplicación en el lado de la red y las consideraciones de cumplimiento normativo que importan en 2026. --- ANÁLISIS TÉCNICO DETALLADO (aproximadamente 5 minutos) Comencemos con la arquitectura. Un captive portal intercepta el tráfico HTTP de un dispositivo no autenticado y lo redirige a una página de inicio de sesión. Esa página de inicio de sesión está alojada en un servidor de portal, ya sea de forma local o en la nube. Al añadir OAuth de WeChat, está introduciendo un proveedor de identidad de terceros en ese flujo. Esta es la secuencia. El invitado se conecta a su SSID. El punto de acceso o controlador inalámbrico detecta que el dispositivo no tiene una sesión autenticada y redirige todo el tráfico HTTP a la URL de su captive portal. La página del portal se carga y presenta las opciones de inicio de sesión, incluido WeChat. El invitado pulsa en el inicio de sesión de WeChat. El servidor de su portal redirige el navegador al punto de conexión de autorización de WeChat en open.weixin.qq.com, pasando su AppID, la URI de redirección, el tipo de respuesta de código y el alcance (scope). WeChat gestiona la autenticación por completo en sus propios servidores. Si el invitado ya ha iniciado sesión en WeChat en su navegador, verá una pantalla de consentimiento. Si está utilizando el navegador integrado de WeChat, la experiencia puede ser silenciosa con el alcance `snsapi_base`, sin ninguna solicitud de consentimiento. A continuación, WeChat redirige de nuevo a la URI de redirección de su portal con un código de autorización temporal. El servidor de su portal intercambia ese código por un token de acceso llamando a api.weixin.qq.com/sns/oauth2/access_token, pasando su AppID, AppSecret, el código y el tipo de concesión de authorization_code. WeChat devuelve un token de acceso, un token de actualización, el OpenID del usuario y el alcance concedido. Si solicitó el alcance `snsapi_userinfo`, puede realizar una segunda llamada a la API para recuperar el apodo, el avatar, el género y la ciudad del usuario. Ahora, hablemos de los dos registros de plataforma. Aquí es donde fallan la mayoría de las implementaciones. WeChat tiene dos plataformas de desarrollo independientes. La Plataforma Abierta de WeChat (Open Platform) en open.weixin.qq.com gestiona aplicaciones de sitios web y aplicaciones móviles. La Plataforma de Cuentas Oficiales de WeChat en mp.weixin.qq.com gestiona cuentas públicas, que es lo que realmente necesitan la mayoría de los establecimientos. Para un captive portal que atiende a invitados dentro del navegador integrado de WeChat, necesita una Cuenta de Servicio en la Plataforma de Cuentas Oficiales. Una Cuenta de Suscripción no funcionará, ya que no tiene permisos de autorización de páginas web de OAuth. Una Cuenta de Servicio sí los tiene y admite los alcances `snsapi_base` y `snsapi_userinfo`. Para un captive portal al que se accede desde un navegador móvil estándar fuera de WeChat (Chrome en Android, Safari en iOS), necesita una Aplicación Web registrada en la Plataforma Abierta. Esta utiliza el alcance `snsapi_login` y presenta un código QR que el usuario escanea con su aplicación WeChat. En la práctica, la mayoría de los despliegues en establecimientos utilizan ambos. Un invitado en el WiFi de un hotel puede abrir el portal en Chrome, ver un código QR, escanearlo con WeChat y autenticarse. O bien, puede seguir un enlace en el propio WeChat, aterrizar en el navegador integrado y autenticarse silenciosamente con `snsapi_base`. Hablemos de la selección del alcance, porque este es un punto de decisión crucial. `snsapi_base` devuelve solo el OpenID, un identificador único para ese usuario dentro de su Cuenta Oficial. No requiere ninguna solicitud de consentimiento del usuario. La autenticación es invisible para el usuario. Esto es ideal para invitados recurrentes de los que ya tiene un perfil, o para establecimientos donde desea una fricción cero a cambio de no recopilar nuevos datos. `snsapi_userinfo` devuelve el OpenID más el apodo de WeChat del usuario, la foto de perfil, el género, la configuración de idioma y la ciudad. Requiere una pantalla de consentimiento explícita. El usuario ve una solicitud que le pregunta si permite que su Cuenta Oficial acceda a su información. La mayoría de los usuarios la aceptan, pero genera fricción. La elección correcta depende de su caso de uso. Para el registro de un invitado por primera vez en el que desea crear un perfil, utilice `snsapi_userinfo` y combínelo con una capa de consentimiento que cumpla con la GDPR en la página de su portal. Para un invitado recurrente que ya ha dado su consentimiento y del que ya dispone de su perfil, utilice `snsapi_base` para una reautenticación silenciosa. Ahora, el lado de la aplicación en la red. Obtener un token de OAuth demuestra la identidad, pero no abre la red automáticamente. Necesita un mecanismo para traducir una autenticación exitosa en acceso a la red. Los dos enfoques estándar son RADIUS Change of Authorisation (CoA), definido en RFC 3576, y la omisión de dirección MAC (MAC address bypass). Con RADIUS CoA, el servidor de su portal envía una solicitud de CoA al controlador de red tras un OAuth exitoso, y el controlador mueve el dispositivo de la VLAN no autenticada a la VLAN de invitados. Esto funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y la mayoría de los controladores de nivel empresarial. Con la omisión de MAC, el servidor del portal registra la dirección MAC del dispositivo como un cliente autorizado y el controlador lo permite. La omisión de MAC es más sencilla de implementar pero menos segura, ya que las direcciones MAC se pueden suplantar. La plataforma de WiFi para invitados de Purple gestiona ambos mecanismos. Una vez completado el OAuth de WeChat, la capa en la nube de Purple envía la señal adecuada al hardware subyacente, ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet. El operador del establecimiento no necesita gestionar esa traducción manualmente. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aproximadamente 2 minutos) Permítame indicarle las cinco cosas que hacen que fallen las implementaciones de captive portal con OAuth de WeChat. Primero: la discrepancia en la URI de redirección. WeChat valida la URI de redirección con respecto al dominio autorizado que registró en la plataforma. Si el servidor de su portal utiliza un subdominio diferente, una ruta diferente o HTTP en lugar de HTTPS, el flujo de OAuth fallará con el error 40029 (código no válido). Registre cada variante de dominio que utilice, incluidos los entornos de prueba. Segundo: el AppSecret en el lado del cliente. Su AppSecret nunca debe aparecer en el código JavaScript del lado del cliente ni en el binario de una aplicación móvil. Debe permanecer en su servidor. Si queda expuesto, cualquiera puede suplantar su aplicación y realizar llamadas a las API de WeChat en su nombre. Tercero: la falta de protección contra CSRF. El parámetro de estado (state) en la solicitud de OAuth existe específicamente para evitar la falsificación de peticiones en sitios cruzados. Genere un valor de estado criptográficamente aleatorio, almacénelo en la sesión del usuario y valídelo cuando WeChat redirija de vuelta. Si omite esto, tendrá una vulnerabilidad real. Cuarto: la falta de detección del navegador integrado. El navegador integrado de WeChat establece una cadena de agente de usuario específica que contiene "MicroMessenger". Si su portal no detecta esto y ofrece el flujo de OAuth correcto (flujo de Cuenta Oficial para el navegador integrado, flujo de código QR de la Plataforma Abierta para navegadores estándar), los usuarios tendrán una experiencia rota o un error. Quinto: la alineación con la GDPR y la PIPL. Si atiende a visitantes europeos, la GDPR se aplica a los datos que recopila a través de OAuth de WeChat. Si atiende a visitantes chinos, la Ley de Protección de Información Personal de China (PIPL) se aplica a cómo procesa sus datos. Ambos marcos requieren una base legal para el tratamiento, una limitación clara de la finalidad y la minimización de datos. `snsapi_base` es más fácil de justificar bajo los principios de minimización de datos que `snsapi_userinfo`. Independientemente de lo que recopile, documente su base legal y su período de retención. --- PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Pregunta: ¿Puedo utilizar el inicio de sesión de WeChat en un portal que también ofrece inicio de sesión por correo electrónico y SMS? Sí. La mayoría de las plataformas de portales empresariales, incluida Purple, admiten múltiples métodos de autenticación en la misma página del portal. WeChat aparece como una opción junto a las demás. Pregunta: ¿Funciona el OAuth de WeChat en iOS? Sí, pero con un matiz. El marco de transparencia de seguimiento de aplicaciones (App Tracking Transparency) de Apple no afecta a los flujos de OAuth del lado del servidor. El inicio de sesión de WeChat en Safari en iOS funciona a través del flujo de código QR o del flujo de redirección. La propia aplicación de WeChat gestiona la autenticación. Pregunta: ¿Qué ocurre si la API de WeChat no está disponible? Su portal debe implementar una alternativa. Si la llamada a la API de WeChat agota el tiempo de espera o devuelve un error, redirija al usuario a un método de inicio de sesión alternativo. No lo deje con una pantalla en blanco. Pregunta: ¿Puedo utilizar el OpenID como un identificador de cliente persistente? Dentro de su Cuenta Oficial, sí. El OpenID es estable para un usuario determinado y una Cuenta Oficial determinada. Si tiene varias Cuentas Oficiales, el mismo usuario tendrá diferentes OpenID en cada una de ellas. Para la resolución de identidad entre cuentas, WeChat proporciona un UnionID, lo que requiere que sus cuentas estén vinculadas en la Plataforma Abierta. --- RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. La autenticación OAuth de WeChat para captive portals es un ejercicio de registro en dos plataformas, una decisión de alcance (scope), una integración de aplicación de red y una revisión de cumplimiento normativo. Si hace bien esas cuatro cosas, tendrá un método de inicio de sesión que atenderá a más de mil millones de visitantes potenciales con cero fricciones de contraseña. Los pasos prácticos a seguir son los siguientes. Primero, determine si sus visitantes acceden al portal dentro del navegador integrado de WeChat o en un navegador móvil estándar; eso determinará qué registro de plataforma necesita. Segundo, decida el alcance: `snsapi_base` para invitados recurrentes, `snsapi_userinfo` para el registro por primera vez con consentimiento. Tercero, confirme que el hardware de su red admite RADIUS CoA o configure la omisión de MAC como alternativa. Cuarto, revise su aviso de privacidad y el flujo de consentimiento frente a los requisitos de la GDPR y la PIPL. Quinto, pruebe la URI de redirección, la validación del parámetro de estado y la detección del navegador integrado antes de la puesta en marcha. Si desea ver cómo gestiona Purple el OAuth de WeChat como parte de una plataforma más amplia de WiFi para invitados y analítica (en 80.000 establecimientos y con 440 millones de inicios de sesión en 2024), visite purple.ai o hable con su equipo de cuentas. Gracias por su atención. --- FIN DEL INFORME

header_image.png

Resumen Ejecutivo

Cuando los visitantes chinos se conectan a su WiFi, presentar una página de inicio de sesión que solo ofrece correo electrónico o Facebook genera una fricción inmediata. WeChat tiene 1.380 millones de usuarios activos mensuales, y configurarlo como proveedor de identidad elimina esta barrera. Esta guía explica cómo implementar la autenticación OAuth 2.0 de WeChat para captive portals, detallando los registros de plataforma necesarios, el flujo de OAuth y los mecanismos de aplicación de red requeridos para traducir un inicio de sesión exitoso en acceso a la red. Cubrimos la implementación técnica en hardware empresarial y los requisitos de cumplimiento normativo bajo la GDPR y la PIPL.

Arquitectura Técnica

Un captive portal intercepta el tráfico HTTP de un dispositivo no autenticado y lo redirige a una página de inicio de sesión alojada en un servidor de portal. Al integrar OAuth de WeChat, introduce un proveedor de identidad de terceros en este flujo.

architecture_overview.png

La secuencia funciona de la siguiente manera:

  1. El visitante se conecta al SSID.
  2. El punto de acceso o controlador inalámbrico detecta la falta de una sesión autenticada y redirige el tráfico HTTP a la URL del captive portal.
  3. El visitante selecciona el inicio de sesión de WeChat.
  4. El servidor del portal redirige el navegador al punto de conexión de autorización de WeChat (open.weixin.qq.com), pasando el AppID, redirect_uri, response_type=code y scope.
  5. WeChat gestiona la autenticación. Si el visitante utiliza el navegador integrado de WeChat con el alcance snsapi_base, esto ocurre de forma silenciosa.
  6. WeChat redirige de nuevo a la redirect_uri del portal con un código de autorización temporal.
  7. El servidor del portal intercambia este código por un token de acceso llamando a api.weixin.qq.com/sns/oauth2/access_token.
  8. WeChat devuelve un access_token, refresh_token y el openid del usuario.

Requisitos de Registro de la Plataforma

La implementación del inicio de sesión de WeChat requiere el registro en la plataforma de desarrollo correcta. WeChat opera dos plataformas distintas, y seleccionar la incorrecta hará que la integración falle.

Plataforma de Cuentas Oficiales de WeChat

Para un captive portal que atiende a visitantes dentro del navegador integrado de WeChat, necesita una Cuenta de Servicio en la Plataforma de Cuentas Oficiales (mp.weixin.qq.com). Una Cuenta de Suscripción carece de los permisos de autorización de páginas web de OAuth necesarios. Una Cuenta de Servicio admite los alcances snsapi_base y snsapi_userinfo.

Plataforma Abierta de WeChat (Open Platform)

Para un captive portal al que se accede desde un navegador móvil estándar fuera de WeChat (como Chrome en Android o Safari en iOS), necesita una Aplicación Web registrada en la Plataforma Abierta (open.weixin.qq.com). Esta utiliza el alcance snsapi_login y presenta un código QR que el usuario escanea con su aplicación WeChat.

La mayoría de los despliegues empresariales requieren ambos registros para cubrir todos los métodos de acceso.

Selección de Alcance (Scope) y Recopilación de Datos

El parámetro de alcance determina qué datos devuelve WeChat a su servidor de portal. Esta decisión afecta tanto a la fricción del usuario como al cumplimiento de la privacidad de los datos.

scope_comparison_chart.png

snsapi_base

Este alcance devuelve solo el OpenID, un identificador único para el usuario dentro de su Cuenta Oficial. No requiere ninguna solicitud de consentimiento del usuario, lo que hace que la autenticación sea invisible para él. Esto es óptimo para visitantes recurrentes de los que ya dispone de un perfil, o para establecimientos que priorizan la fricción cero sobre la recopilación de nuevos datos.

snsapi_userinfo

Este alcance devuelve el OpenID más el apodo de WeChat del usuario, la foto de perfil, el género, la configuración de idioma y la ciudad. Requiere una pantalla de consentimiento explícita, lo que introduce fricción. Utilice esto para el registro de visitantes por primera vez cuando sea necesario crear un perfil, combinado con una capa de consentimiento que cumpla con la GDPR.

Integración de la Aplicación en la Red

La obtención de un token de OAuth demuestra la identidad, pero no abre la red. Debe traducir una autenticación exitosa en acceso a la red utilizando protocolos estándar.

RADIUS Change of Authorisation (CoA)

Definido en IEEE 802.1X y RFC 3576, RADIUS CoA permite al servidor del portal enviar una solicitud al controlador de red tras un OAuth exitoso. A continuación, el controlador mueve el dispositivo de la VLAN no autenticada a la VLAN de invitados. Este es el estándar para el hardware empresarial, incluidos Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist.

Omisión de Dirección MAC (MAC Address Bypass)

Como alternativa, el servidor del portal registra la dirección MAC del dispositivo como un cliente autorizado y el controlador lo permite. Aunque es más sencillo de implementar, es menos seguro, ya que las direcciones MAC se pueden suplantar.

La capa en la nube de Purple automatiza esta traducción, enviando la señal adecuada al hardware subyacente (incluidos Ubiquiti UniFi, Cambium, Extreme y Fortinet) una vez que se completa el OAuth de WeChat.

Consideraciones de Seguridad y Cumplimiento Normativo

Alineación con la GDPR y la PIPL

Si atiende a visitantes europeos, la GDPR se aplica a los datos recopilados a través de OAuth de WeChat. Si atiende a visitantes chinos, se aplica la Ley de Protección de Información Personal (PIPL) de China. Ambos marcos requieren una base legal para el tratamiento, una limitación clara de la finalidad y la minimización de datos. El alcance snsapi_base se alinea más fácilmente con los principios de minimización de datos que snsapi_userinfo.

Protección contra CSRF

El parámetro state en la solicitud de OAuth preveevita la falsificación de petición en sitios cruzados. Debe generar un valor de estado aleatorio criptográficamente, almacenarlo en la sesión del usuario y validarlo cuando WeChat realice la redirección de vuelta.

Validación de la URI de redirección

WeChat valida la redirect_uri con respecto al dominio autorizado registrado en la plataforma. Si el servidor de su portal utiliza un subdominio, ruta o HTTP en lugar de HTTPS diferente, el flujo de OAuth fallará con el error 40029.

Para obtener más información sobre cómo proteger su red, consulte nuestra guía Seguridad WiFi empresarial: una guía completa para 2026 .

Definiciones clave

snsapi_base

Un alcance (scope) de OAuth de WeChat que devuelve solo el OpenID del usuario sin mostrar una solicitud de consentimiento.

Se utiliza cuando los equipos de TI necesitan autenticar a los visitantes recurrentes de forma silenciosa sin causar fricción en el inicio de sesión.

snsapi_userinfo

Un alcance (scope) de OAuth de WeChat que devuelve el OpenID junto con datos demográficos (apodo, género, ciudad) y requiere el consentimiento explícito del usuario.

Se utiliza durante el primer registro cuando los equipos de marketing necesitan crear un perfil de visitante.

OpenID

Un identificador único para un usuario específico dentro de una Cuenta Oficial de WeChat específica.

Se utiliza como clave primaria en la base de datos del portal para realizar un seguimiento del comportamiento de los visitantes y las visitas recurrentes.

RADIUS CoA

Change of Authorisation (Cambio de Autorización). Un mecanismo definido en RFC 3576 que permite a un servidor modificar el estado de autorización de una sesión activa.

Utilizado por el servidor del portal para indicar al controlador inalámbrico que conceda acceso a la red tras una autenticación exitosa en WeChat.

PIPL

Personal Information Protection Law (Ley de Protección de Información Personal). La regulación de privacidad de datos integral de China.

Debe considerarse junto con la GDPR al diseñar el flujo de consentimiento para los visitantes chinos que utilizan el inicio de sesión de WeChat.

AppID and AppSecret

Las credenciales proporcionadas por WeChat para identificar y autenticar su aplicación.

El AppSecret debe permanecer de forma segura en el servidor del portal y nunca exponerse en el código del lado del cliente.

State Parameter

Una cadena criptográficamente aleatoria que se pasa en la solicitud de OAuth y se valida al retornar.

Esencial para prevenir ataques de falsificación de petición en sitios cruzados (CSRF) en el captive portal.

MAC Address Bypass

Un método para conceder acceso a la red mediante la autorización de la dirección de hardware del dispositivo en lugar de requerir autenticación 802.1X.

Una alternativa a RADIUS CoA para configuraciones de red más sencillas, aunque menos segura.

Ejemplos prácticos

Una marca de venta minorista de lujo en Londres quiere ofrecer el inicio de sesión con WeChat para compradores chinos. Quieren recopilar datos demográficos para comprender a su base de clientes, pero les preocupa el cumplimiento de la GDPR y las altas tasas de abandono en el portal.

El minorista debe registrar una Cuenta de Servicio (Service Account) en la Plataforma de Cuentas Oficiales de WeChat. Debe configurar el portal para usar el alcance (scope) snsapi_userinfo en las primeras conexiones para recopilar datos demográficos (apodo, género, ciudad). Para garantizar el cumplimiento de la GDPR, la página del portal debe mostrar un consentimiento explícito y claro antes de la redirección de WeChat, explicando exactamente qué datos se recopilan y por qué. Para los compradores recurrentes, el portal debe detectar la dirección MAC y usar snsapi_base para una autenticación silenciosa, minimizando la fricción.

Comentario del examinador: Este enfoque equilibra la recopilación de datos con la experiencia del usuario. Al limitar el flujo de alta fricción de `snsapi_userinfo` a la primera visita y usar `snsapi_base` posteriormente, el minorista maximiza la conversión al tiempo que cumple con los principios de minimización de datos.

Un estadio despliega una nueva red WiFi utilizando controladores HPE Aruba. Han configurado OAuth de WeChat y el portal recibe correctamente el token de acceso, pero el dispositivo del visitante permanece en la página del captive portal y no puede acceder a internet.

La integración carece de un mecanismo de aplicación de red. El servidor del portal ha verificado la identidad del usuario con WeChat, pero no ha indicado al controlador HPE Aruba que conceda el acceso. El servidor del portal debe configurarse para enviar un mensaje RADIUS Change of Authorisation (CoA) al controlador, indicándole que cambie la dirección MAC del usuario del rol de preautenticación al rol de invitado autenticado.

Comentario del examinador: Esto resalta la distinción entre la verificación de identidad y el control de acceso a la red. Las redes empresariales requieren un protocolo como RADIUS CoA para salvar la distancia entre la aplicación web (portal) y la infraestructura de red.

Preguntas de práctica

Q1. Está desplegando un captive portal en una cadena de tiendas. Las pruebas muestran que los usuarios que abren el portal en Safari en iOS reciben un error al seleccionar el inicio de sesión de WeChat, pero los usuarios que abren el portal desde un enlace de mensaje de WeChat se autentican correctamente. ¿Cuál es la causa probable?

Sugerencia: Considere la diferencia entre el navegador integrado de WeChat y los navegadores móviles estándar.

Ver respuesta modelo

Es probable que la implementación dependa únicamente de una Cuenta de Servicio registrada en la Plataforma de Cuentas Oficiales, que solo admite OAuth dentro del navegador integrado de WeChat. Para admitir Safari en iOS, también debe registrar una Aplicación Web en la Plataforma Abierta de WeChat (Open Platform) e implementar la detección del agente de usuario para dirigir a los usuarios de Safari al flujo de código QR.

Q2. Los registros del servidor de su portal muestran errores frecuentes 40029 'invalid code' devueltos por la API de WeChat durante el intercambio del token de acceso. ¿Qué configuración debería comprobar primero?

Sugerencia: Piense en cómo valida WeChat el origen de la solicitud de autenticación.

Ver respuesta modelo

Debe verificar la configuración de redirect_uri. WeChat valida estrictamente la URI de redirección con respecto al dominio autorizado registrado en la consola de desarrollador. Si el portal utiliza un subdominio diferente, o si deja de usar HTTPS, WeChat rechazará el intercambio de códigos.

Q3. El operador de un establecimiento desea recopilar datos de los visitantes pero insiste en que no haya fricción durante el proceso de inicio de sesión. Le solicita que configure el inicio de sesión de WeChat para recopilar el apodo y la ciudad del visitante sin mostrar una solicitud de consentimiento. ¿Cómo responde?

Sugerencia: Revise las capacidades de los diferentes alcances (scopes) de OAuth.

Ver respuesta modelo

Debe informar al operador de que esto es técnicamente imposible. La recopilación de datos demográficos como el apodo y la ciudad requiere el alcance snsapi_userinfo, que activa obligatoriamente una solicitud de consentimiento de WeChat. Para lograr una fricción cero, debe utilizar snsapi_base, que funciona de forma silenciosa pero solo devuelve el OpenID.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Esta guía técnica detalla cómo diseñar redes WiFi hoteleras de nivel empresarial, centrándose en la segmentación de VLAN, la integración de PMS para la gestión automatizada de sesiones y la optimización del Captive Portal para la captura de datos de conformidad con el GDPR.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →