Integración de la autenticación de WeChat con los Captive Portals de WiFi para invitados
Esta guía explica cómo integrar la autenticación WeChat OAuth 2.0 en los Captive Portals de WiFi para invitados empresariales. Cubre los requisitos de registro en doble plataforma, la selección del alcance para la captura de datos de primera mano, la aplicación de la red a través de RADIUS Change of Authorization y el cumplimiento de la GDPR y la PIPL de China. Los operadores de recintos en los sectores de hostelería, comercio minorista y eventos encontrarán pasos de implementación concretos, casos de estudio reales y directrices de refuerzo de la seguridad para desplegar el inicio de sesión con WeChat en su WiFi para invitados a escala.
Escuchar esta guía
Ver transcripción del podcast
- Resumen
- Análisis técnico detallado: Arquitectura OAuth 2.0 de WeChat
- Requisitos de Registro en Doble Plataforma
- Selección del Scope: Recopilación de Datos frente a Fricción del Usuario
- UnionID para despliegues multisitio
- Guía de implementación
- Mecanismos de aplicación de red
- Configuración de seguridad
- Detección de navegadores integrados en la aplicación
- Buenas prácticas y cumplimiento normativo
- Cumplimiento del GDPR
- Cumplimiento de la PIPL
- Aislamiento de red
- Autenticación de respaldo
- Casos de estudio reales
- Hostelería: Grupo hotelero de lujo
- Comercio minorista: Analítica de centros comerciales
- Resolución de problemas y mitigación de riesgos
- ROI e impacto empresarial

Resumen
Cuando un visitante chino se conecta a su red empresarial y se encuentra con un Captive Portal que solo ofrece correo electrónico, Facebook o códigos de credenciales, se genera una fricción inmediata. Según los datos de Tencent de 2024, WeChat cuenta con 1380 millones de usuarios activos mensuales. Integrar el inicio de sesión de WeChat con el WiFi de invitados no es un servicio de cortesía; es un requisito técnico para capturar datos de origen de este perfil demográfico sin fricciones.
Esta guía detalla la arquitectura técnica de la integración de la autenticación OAuth 2.0 de WeChat con portales cautivos. Explica el registro de doble plataforma necesario para admitir navegadores móviles estándar junto con el navegador interno de WeChat, evalúa las ventajas y desventajas entre los alcances snsapi_base y snsapi_userinfo para la recopilación de datos, y describe cómo se aplica el acceso a la red mediante RADIUS Change of Authorization (CoA) o MAC Authentication Bypass. También cubre las configuraciones de seguridad y las directivas de cumplimiento (GDPR y la Ley de Protección de Información Personal de China o PIPL) necesarias para despliegues a gran escala en infraestructuras de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.
Análisis técnico detallado: Arquitectura OAuth 2.0 de WeChat
Un Captive Portal intercepta el tráfico HTTP de los dispositivos no autenticados y los redirige a una página de destino alojada en un servidor de portal. Al añadir la autenticación de WeChat, se introduce un proveedor de identidad de terceros en este flujo utilizando el protocolo OAuth 2.0, el mismo estándar que emplean Google, Microsoft Entra ID y Okta para la identidad federada.

El flujo de autenticación funciona de la siguiente manera: Un visitante se conecta al SSID. El punto de acceso o controlador inalámbrico detecta la sesión no autenticada y redirige el tráfico HTTP a la URL del Captive Portal. El visitante selecciona el inicio de sesión de WeChat en la página del Portal. El servidor del Portal redirige el navegador al extremo de autorización de WeChat en open.weixin.qq.com, pasando el AppID, la URI de redirección, el tipo de respuesta de code y el Scope solicitado. WeChat gestiona la autenticación en sus propios servidores. Si el visitante está dentro del navegador integrado de WeChat utilizando el Scope snsapi_base, la autenticación es silenciosa - no aparece ninguna solicitud de consentimiento de autorización. Si se utiliza snsapi_userinfo, WeChat muestra una página de consentimiento de autorización. A continuación, WeChat redirige de nuevo a la URI de redirección del Portal con un código de autorización temporal. El servidor del Portal canjea este código por un Access Token realizando una llamada de API a api.weixin.qq.com/sns/oauth2/access_token con el AppID, AppSecret, el código y un tipo de concesión de authorization_code. WeChat devuelve el Access Token, el Refresh Token, el OpenID del usuario y el Scope concedido. Si se concedió snsapi_userinfo, el servidor inicia una segunda llamada de API para obtener el apodo, la foto de perfil, el género y la ciudad del usuario.
Requisitos de Registro en Doble Plataforma
La mayoría de las implementaciones fallan en la fase de registro. WeChat opera dos plataformas de desarrollo independientes y los despliegues empresariales suelen requerir ambas.
| Plataforma | URL | Tipo de Cuenta Requerido | Scopes Soportados | Entorno de Navegador |
|---|---|---|---|---|
| Official Accounts Platform | mp.weixin.qq.com | Cuenta de Servicio | snsapi_base, snsapi_userinfo | Navegador Integrado de WeChat |
| Open Platform | open.weixin.qq.com | Aplicación Web | snsapi_login | Navegadores Móviles Estándar |
Para los visitantes que acceden al Portal dentro del navegador integrado de WeChat, se necesita una Cuenta de Servicio en la Official Accounts Platform. Las cuentas de suscripción no funcionarán - carecen de permisos de autorización de página web OAuth. Para los visitantes que acceden al Portal desde Chrome en Android o Safari en iOS, se necesita una Aplicación Web en la Open Platform, que utiliza el Scope snsapi_login y muestra un código QR para que el usuario lo escanee.
En la práctica, la mayoría de los despliegues en establecimientos utilizan ambos. Un huésped de un hotel podría abrir el Portal en Chrome, ver un código QR, escanearlo con WeChat y autenticarse. O podría tocar un enlace directamente dentro de WeChat, entrar en el navegador integrado y autenticarse de forma silenciosa a través de snsapi_base.
Selección del Scope: Recopilación de Datos frente a Fricción del Usuario

El scope que solicite determina los datos que recopila y la fricción que experimenta el visitante. Se trata de una decisión práctica con implicaciones de cumplimiento normativo.
snsapi_base devuelve solo el OpenID (el identificador único para ese usuario dentro de su Cuenta Oficial). No requiere ninguna confirmación de consentimiento del usuario. La autenticación es silenciosa para el visitante. Es ideal para visitantes recurrentes cuyos perfiles ya tiene, o cuando prioriza un acceso sin fricciones. Bajo los principios de minimización de datos del GDPR y de la PIPL, snsapi_base es mucho más fácil de justificar.
snsapi_userinfo devuelve el OpenID además del apodo del usuario, la foto de perfil, el género y la ciudad. Requiere una página de consentimiento de autorización explícita. Es ideal para el registro de visitantes que acceden por primera vez cuando se necesita crear un perfil, combinado con una capa de consentimiento conforme en su página de Captive Portal.
UnionID para despliegues multisitio
Un OpenID es exclusivo para la combinación de un usuario y una Cuenta Oficial específica. Un grupo hotelero con 20 propiedades, cada una con su propia Cuenta Oficial, vería 20 OpenIDs diferentes para el mismo visitante. El UnionID resuelve esto. Es un identificador único que representa a un usuario en todas las Cuentas Oficiales y aplicaciones vinculadas bajo la misma cuenta de Open Platform. Vincule sus Cuentas Oficiales a su cuenta de Open Platform y el UnionID se devolverá en la respuesta de OAuth. Esta es la base para el reconocimiento de visitantes entre sitios.
-
Guía de implementación
Mecanismos de aplicación de red
Obtener un token de OAuth solo demuestra la identidad; no abre la red. Debe indicar al controlador que permita el tráfico.
RADIUS Change of Authorization (CoA) (definido en RFC 3576) es el método de nivel empresarial recomendado. Tras una validación de OAuth correcta, el servidor del Captive Portal envía una solicitud de CoA al controlador de red. El controlador mueve el dispositivo de la VLAN de preautenticación a la VLAN de invitados. Esto se aplica a Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.
MAC Authentication Bypass (MAB) registra la dirección MAC del dispositivo como un cliente autorizado en la base de datos de RADIUS. El controlador permite el acceso basándose en esta MAC. MAB es más fácil de implementar pero menos fiable: los dispositivos modernos iOS y Android aleatorizan las direcciones MAC por defecto, lo que interrumpe la asociación de la sesión al volver a conectarse.
La plataforma de Guest WiFi de Purple automatiza esta transición. Una vez completado el proceso de OAuth de WeChat, la red de superposición en la nube de Purple envía la señal CoA o MAB adecuada al hardware subyacente, lo que elimina la molestia de la configuración manual de la VLAN.
Configuración de seguridad
Las siguientes tres configuraciones no son negociables.
- Proteger el AppSecret. El
AppSecretnunca debe aparecer en el JavaScript del lado del cliente. Debe permanecer en su servidor. Si se ve comprometido, los atacantes pueden suplantar su aplicación y llamar a la API de WeChat en su nombre. - Implementar protección CSRF. Genere un valor de
statecriptográficamente aleatorio, almacénelo en la sesión del usuario y valídelo cuando vuelva la redirección de WeChat. Esto evita ataques de falsificación de solicitudes entre sitios según se define en el RFC 6749. - Registrar todas las variaciones de URI de redirección. WeChat valida la URI de redirección frente a su dominio registrado. Registre cada subdominio y variante de ruta que utilice (incluidos los entornos de staging) para evitar errores 40029 (código no válido).
Detección de navegadores integrados en la aplicación
El navegador integrado en la aplicación de WeChat establece una cadena de agente de usuario que contiene MicroMessenger. Su Captive Portal debe detectar esta cadena y realizar el enrutamiento correspondiente: el navegador integrado utiliza el flujo de Official Account, mientras que los navegadores estándar utilizan el flujo de código QR de Open Platform. No detectar esta cadena provoca una experiencia de usuario interrumpida o errores de autenticación.

Buenas prácticas y cumplimiento normativo
Cumplimiento del GDPR
Si ofrece servicios a visitantes europeos o tiene actividad en Europa, el GDPR se aplica a los datos que recopila a través de WeChat OAuth. Debe establecer una base de tratamiento legítima, que suele ser el consentimiento o el interés legítimo. Antes de que se produzca la autenticación, debe proporcionar un aviso de privacidad claro en el Captive Portal. Además, debe responder a las solicitudes de acceso y de supresión de datos de los interesados. Para obtener un marco de cumplimiento detallado, consulte el Compliance Playbook: GDPR and Guest WiFi Data Privacy .
Cumplimiento de la PIPL
Cuando gestiona datos personales de ciudadanos chinos, se aplica la Ley de Protección de Información Personal de China (PIPL). Al igual que el GDPR, la PIPL exige una limitación explícita de la finalidad, la minimización de datos y una base jurídica por escrito. Bajo el principio de minimización de datos, es mucho más fácil justificar snsapi_base que snsapi_userinfo. Independientemente de los datos que recopile, documente su base jurídica y los periodos de conservación antes de la puesta en marcha.
Aislamiento de red
Utilice la segmentación de VLAN para aislar el tráfico de la red WiFi de invitados de su red corporativa. Los invitados autenticados a través de WeChat deben ubicarse en una VLAN de invitados dedicada con acceso exclusivo a internet, sin acceso a los sistemas internos. Esto se alinea con los requisitos de PCI DSS para el aislamiento del entorno de datos de titulares de tarjetas y con las prácticas generales de seguridad corporativa. Para obtener más información sobre la arquitectura de aislamiento, consulte Bandwidth Management: A Practical Guide for 2026 .
Autenticación de respaldo
Si la API de WeChat no está disponible, su portal debe redirigir a un método de inicio de sesión alternativo. No deje a los invitados ante una pantalla en blanco. Ofrecer alternativas por correo electrónico o SMS garantiza la continuidad. Esto es especialmente crucial en entornos de Transporte y de Sanidad , donde la conectividad de red es una obligación del servicio.
Casos de estudio reales
Hostelería: Grupo hotelero de lujo
Un hotel de lujo de 400 habitaciones en Londres alojaba a un número significativo de huéspedes de China continental. Su Captive Portal original requería verificación por correo electrónico y SMS. Los números de móvil chinos solían fallar al recibir mensajes SMS de operadores europeos, y muchos huéspedes no tenían cuentas de correo electrónico nativas configuradas en sus dispositivos. Esto provocó tasas de abandono del portal de hasta el 60%.
El hotel registró una cuenta de servicio en la plataforma de cuentas oficiales y una aplicación web en la plataforma abierta. El portal detectó el agente de usuario MicroMessenger y activó snsapi_base para los usuarios del navegador interno de la aplicación, conectándolos en menos de tres segundos sin necesidad de solicitar autorización. A los huéspedes que utilizaban Chrome o Safari se les mostraba un código QR. En las visitas siguientes, el sistema reconocía el mismo OpenID y autenticaba silenciosamente al huésped sin pedirle credenciales. El CRM del hotel registraba el regreso del huésped, lo que permitía una comunicación dirigida antes de su llegada. Para más información sobre el despliegue de WiFi en el sector de la hostelería, consulte Hospitality .
Comercio minorista: Analítica de centros comerciales
Un gran centro comercial quería captar datos demográficos de los consumidores chinos para definir la combinación de inquilinos y las estrategias de marketing. Necesitaban conocer la ciudad de origen, el sexo y la frecuencia de las visitas. En este caso, snsapi_base era insuficiente; requerían snsapi_userinfo. El portal solicitó el alcance completo de userinfo. Los huéspedes vieron la solicitud de autorización de WeChat y hicieron clic en permitir. La plataforma de análisis del centro comercial, integrada con WiFi Analytics de Purple, recibió un flujo de datos demográficos verificados. Los sábados por la tarde, el 40% de los usuarios de WiFi procedían de una región específica. Estos datos influyeron directamente en las marcas que se seleccionaron para activaciones temporales. Para más información sobre despliegues de WiFi en comercios minoristas, consulte Retail .
Resolución de problemas y mitigación de riesgos
Los cinco modos de fallo más comunes en los despliegues de Captive Portal con OAuth de WeChat son:
Discrepancia en la URI de redireccionamiento (Error 40029). WeChat valida la URI de redireccionamiento con el dominio registrado. Cualquier discrepancia en el subdominio, la ruta o el protocolo provocará que el intercambio de códigos falle. Registre todas las variantes, incluidos los entornos de pruebas.
Exposición de AppSecret. Integrar la AppSecret en el código del lado del cliente es el error de seguridad más crítico. Por favor, traslade toda la lógica de intercambio de tokens al lado del servidor.
Falta de protección contra CSRF. Omitir la validación del parámetro state deja al portal vulnerable a ataques de falsificación de peticiones en sitios cruzados. Genere un valor criptográfico aleatorio por sesión y valídelo tras la devolución de llamada.
Fallo en la detección del navegador integrado en la aplicación. Si no se detecta MicroMessenger en el agente de usuario, los usuarios del navegador integrado en la aplicación recibirán el flujo de OAuth incorrecto, lo que provocará errores.
La aleatorización de direcciones MAC interrumpe las sesiones MAB. Los sistemas operativos móviles modernos aleatorizan las direcciones MAC. Los invitados que dependen de la aplicación de MAB perderán su sesión al volver a conectarse. Actualice a RADIUS CoA para una gestión de sesiones fiable. Para obtener orientación sobre la configuración de WiFi seguro, consulte What is Secure WiFi: The 2026 Enterprise Essential Guide .
ROI e impacto empresarial
La implementación del inicio de sesión con WeChat para el WiFi de invitados ofrece tres impactos medibles.
Tasas de autenticación mejoradas. La eliminación de los puntos de fallo de la verificación por SMS y de los requisitos de introducción de correo electrónico aumenta la proporción de visitantes chinos que se conectan con éxito. Para los Captive Portals sin compatibilidad con WeChat, una tasa de abandono del 60 % es una base realista.
Calidad de los datos de origen (first-party data). Los perfiles verificados de WeChat incluyen un OpenID validado y, a través de snsapi_userinfo, acceso directo a atributos demográficos de la plataforma social. Estos datos se pueden inyectar en plataformas de analítica para impulsar el marketing segmentado sin depender de cookies de terceros.
Reducción de los costes de soporte. El inicio de sesión sin interrupciones reduce el volumen de llamadas a recepción y al personal de soporte de TI para resolver problemas de conexión de los visitantes internacionales.
Purple opera en más de 80.000 espacios y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). La plataforma cuenta con la certificación ISO 27001, cumple con las normativas GDPR y CCPA, y mantiene un tiempo de actividad del 99,999 %. Para los espacios de los sectores de Retail y Hospitality , la autenticación de WeChat transforma la red de un centro de costes a un canal robusto de captura de datos de origen.
Definiciones clave
Captive Portal
Una página web que intercepta el tráfico HTTP de un dispositivo no autenticado y requiere que el usuario interactúe con ella antes de que se le conceda acceso a la red.
La interfaz principal donde se presenta al invitado la opción de inicio de sesión con WeChat. El servidor del portal aloja esta página y orquesta el flujo OAuth.
OAuth 2.0
Un protocolo de autorización estándar del sector (RFC 6749) que permite a una aplicación de terceros obtener acceso limitado a un servicio HTTP en nombre de un usuario.
El protocolo subyacente que utiliza WeChat para pasar tokens de autenticación al servidor del portal sin exponer las credenciales del usuario. El mismo protocolo utilizado por Microsoft Entra ID, Okta y Google Workspace.
OpenID
Un identificador alfanumérico único asignado a un usuario de WeChat específico para una cuenta oficial concreta.
Se utiliza como clave principal para identificar a los invitados que regresan en la base de datos de analíticas WiFi. Cambia por cuenta oficial; utilice UnionID para el reconocimiento entre diferentes propiedades.
UnionID
Un identificador único de WeChat que representa a un usuario en todas las cuentas oficiales y aplicaciones vinculadas a la misma cuenta de Open Platform.
Esencial para grupos hoteleros, cadenas de tiendas de retail y operadores de estadios con múltiples sedes que necesitan reconocer al mismo invitado en todo su patrimonio.
RADIUS CoA (Change of Authorization)
Una extensión del protocolo RADIUS (RFC 3576) que permite a un servidor RADIUS cambiar dinámicamente los atributos de autorización de una sesión activa.
El método seguro utilizado para mover un dispositivo invitado de una VLAN de preautenticación aislada a la VLAN de internet activa después de un inicio de sesión exitoso en WeChat. Compatible con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.
snsapi_base
Un alcance de WeChat OAuth que devuelve solo el OpenID del usuario y no requiere ninguna solicitud de consentimiento por parte del usuario.
El alcance recomendado para la autenticación de invitados que regresan. Más fácil de justificar según los principios de minimización de datos de GDPR y PIPL.
snsapi_userinfo
Un alcance de WeChat OAuth que devuelve el OpenID, el apodo, el avatar, el género y la ciudad del usuario, y requiere una pantalla de consentimiento explícita.
Se utiliza para el registro de invitados por primera vez cuando se requieren datos demográficos para las analíticas. Requiere una base legal documentada según GDPR y PIPL.
PIPL (Personal Information Protection Law)
La legislación integral de privacidad de datos de China, en vigor desde noviembre de 2021, que regula el procesamiento de información personal de personas físicas ubicadas en China.
Se aplica cuando los establecimientos procesan datos de ciudadanos chinos a través de WeChat OAuth. Requiere un consentimiento claro, limitación de la finalidad, minimización de datos y un mecanismo de eliminación.
AppSecret
Una clave criptográfica confidencial emitida por WeChat durante el registro de la aplicación, utilizada para autorizar llamadas API desde el servidor del portal.
Debe almacenarse exclusivamente en el lado del servidor. Su exposición en el JavaScript del lado del cliente permite a los atacantes suplantar la identidad de la aplicación y realizar llamadas maliciosas a las API de WeChat.
Ejemplos prácticos
Un hotel de lujo de 400 habitaciones en Londres tiene una tasa de abandono en el portal del 60 % entre los huéspedes de China continental. El portal actual requiere verificación por correo electrónico y SMS. El director de TI necesita implementar la autenticación de WeChat manteniendo el cumplimiento de la GDPR y la seguridad de la red.
Paso 1: Registrar una Cuenta de Servicio en la Plataforma de Cuentas Oficiales de WeChat (mp.weixin.qq.com) y una Aplicación Web en la Plataforma Abierta de WeChat (open.weixin.qq.com). Paso 2: Configurar el portal para detectar la cadena de agente de usuario de MicroMessenger. Si se detecta, activar el flujo OAuth snsapi_base para la autenticación silenciosa. Si no se detecta, presentar el flujo de código QR. Paso 3: Añadir un aviso de privacidad que cumpla con la GDPR y una casilla de verificación de consentimiento en la página del portal antes de que se active el botón de inicio de sesión de WeChat. El aviso debe indicar: los datos recopilados (solo OpenID), la finalidad (acceso a la WiFi para invitados y reconocimiento de visitas recurrentes) y el periodo de retención. Paso 4: Tras el intercambio correcto del token OAuth, el servidor del portal emite una solicitud RADIUS CoA al controlador Cisco Meraki, moviendo el dispositivo del invitado de la VLAN previa a la autenticación a la VLAN segmentada de invitados. Paso 5: Almacenar el OpenID junto con la dirección MAC del dispositivo en la base de datos de invitados. En las visitas siguientes, el OpenID del usuario recurrente activa la autenticación silenciosa.
Un centro comercial quiere capturar datos de género y ciudad de los compradores chinos a través de la WiFi para invitados para introducirlos en su plataforma de análisis. Actualmente utilizan MAC Authentication Bypass para su portal existente que se ejecuta en hardware HPE Aruba.
Paso 1: Registrar una Cuenta de Servicio en la Plataforma de Cuentas Oficiales de WeChat. Paso 2: Configurar el portal para utilizar el alcance snsapi_userinfo para recuperar el género y la ciudad. Paso 3: Añadir una pantalla de consentimiento clara que explique el intercambio de valor: WiFi gratuita a cambio del acceso a los datos del perfil. El consentimiento debe ser explícito y detallado tanto bajo la GDPR como bajo la PIPL. Paso 4: Tras la autenticación, el servidor del portal registra la dirección MAC del dispositivo en la base de datos RADIUS. El controlador HPE Aruba permite el acceso a través de MAB. Paso 5: Documentar la base jurídica (consentimiento), la finalidad (análisis del recinto y marketing) y el periodo de retención (24 meses) en un registro de tratamiento de datos. Proporcionar un mecanismo de eliminación de datos.
Preguntas de práctica
Q1. Está implementando un Captive Portal en un estadio. Desea que los abonados de temporada que regresan y se hayan autenticado previamente se conecten automáticamente sin ver una pantalla de inicio de sesión en las visitas siguientes. ¿Qué alcance de WeChat OAuth debería implementar para el flujo de reautenticación y por qué?
Sugerencia: Considere qué alcance permite la autenticación silenciosa sin solicitar el consentimiento del usuario en cada visita.
Ver respuesta modelo
Utilice snsapi_base. Este alcance devuelve solo el OpenID del usuario y no requiere solicitud de consentimiento, lo que permite una reautenticación silenciosa. En la primera visita, almacena el OpenID en el perfil del aficionado. En las visitas siguientes, el portal detecta el OpenID que regresa a través de snsapi_base, confirma la coincidencia y emite un RADIUS CoA para conceder el acceso; todo ello sin que el aficionado vea una pantalla de inicio de sesión. Esto también se alinea con los principios de minimización de datos de GDPR, ya que no se recopilan datos adicionales más allá de lo necesario para la función de autenticación.
Q2. Durante las pruebas, su portal se redirige correctamente a WeChat, el usuario concede el consentimiento y WeChat vuelve a redirigir a su portal. Sin embargo, los registros del servidor del portal muestran el error de OAuth 40029 (código no válido). ¿Cuál es el error de configuración más probable y cómo lo resuelve?
Sugerencia: WeChat valida estrictamente el destino al que envía el código de autorización frente a una lista registrada.
Ver respuesta modelo
La causa más probable es un desajuste en la URI de redirección. WeChat valida la URI de redirección en la solicitud OAuth con el dominio autorizado registrado en la plataforma. Si el servidor del portal utiliza un subdominio diferente, una ruta distinta o HTTP en lugar de HTTPS, el intercambio de códigos falla con el error 40029. Solución: inicie sesión en la plataforma de desarrolladores de WeChat, vaya a la configuración de su cuenta de servicio o aplicación web y añada cada variante de URI de redirección que utilice, incluidos los subdominios de prueba, las diferentes rutas y las versiones HTTPS. Asegúrese de que el parámetro redirect_uri en su solicitud OAuth coincida exactamente con una de las URI registradas, incluida la codificación URL.
Q3. Un responsable de TI propone integrar la AppSecret de WeChat en el JavaScript del front-end del Captive Portal para acelerar el proceso de intercambio de tokens directamente desde el navegador del cliente. ¿Por qué debe rechazar esta propuesta y cuál es la arquitectura correcta?
Sugerencia: Tenga en cuenta las implicaciones de seguridad de exponer claves criptográficas en código accesible públicamente.
Ver respuesta modelo
Rechace esta propuesta. La AppSecret es una clave criptográfica confidencial. Integrarla en el JavaScript del lado del cliente la expone a cualquiera que vea el código fuente de la página o intercepte el tráfico de red. Un atacante podría extraer la AppSecret y suplantar la identidad de la aplicación, llamando a las API de WeChat en nombre del establecimiento, accediendo a los datos de los usuarios y poniendo potencialmente en peligro toda la cuenta oficial. La arquitectura correcta: la página del portal del lado del cliente recibe el código de autorización de WeChat y lo reenvía al servidor del portal a través de una llamada API del lado del servidor. El servidor del portal almacena la AppSecret en una variable de entorno segura y realiza el intercambio de tokens con la API de WeChat. La AppSecret nunca sale del servidor.
Q4. Un grupo hotelero con 15 establecimientos en toda Europa quiere crear un perfil de huésped unificado que reconozca cuándo un mismo huésped chino se aloja en diferentes establecimientos. Cada establecimiento tiene su propia cuenta oficial de WeChat. ¿Qué identificador de WeChat deberían utilizar y qué configuración se requiere?
Sugerencia: El OpenID es específico de cada cuenta. Existe un identificador diferente diseñado para el reconocimiento entre distintas cuentas.
Ver respuesta modelo
Utilice el UnionID. El OpenID cambia por cada cuenta oficial, por lo que el mismo huésped tendrá 15 OpenID diferentes en las 15 cuentas. El UnionID es un identificador estable que representa a un usuario en todas las cuentas oficiales y aplicaciones vinculadas a la misma cuenta de la Open Platform. Configuración requerida: vincule las 15 cuentas oficiales a una única cuenta de WeChat Open Platform. Una vez vinculadas, el UnionID se devuelve en la respuesta OAuth cuando el usuario ha autorizado al menos una de las cuentas vinculadas. Utilice el UnionID como clave principal en el CRM de huéspedes para crear perfiles de varios establecimientos y reconocer a los huéspedes que regresan, independientemente del establecimiento que visiten.
Continúe leyendo esta serie
Captive Portal para Ruijie: configúrelo con Purple guest WiFi
Cómo la solución cloud guest WiFi de Purple se integra con los puntos de acceso Ruijie RG Series mediante autenticación web y RADIUS, configurada desde la línea de comandos, y dónde encontrar los pasos exactos de configuración.
Diseño de Captive Portals B2B: Captura de nombres registrados y datos de la empresa
Esta guía proporciona a los directores de TI y operadores de recintos un marco técnico independiente del proveedor para diseñar Captive Portals B2B. Detalla cómo estructurar los campos de registro para capturar el nombre registrado y los datos de la empresa, garantizando altas tasas de finalización a la vez que se mantiene el cumplimiento del GDPR y se genera inteligencia a nivel de cuenta.
Arquitectura de Captive Portal: seguridad, redirección y mejores prácticas
Una referencia técnica definitiva sobre la arquitectura de Captive Portal empresarial. Esta guía analiza el aislamiento de red, la redirección de DNS, la autenticación RADIUS y el cumplimiento de seguridad para líderes de TI que implementan redes WiFi de invitados seguras y ricas en datos.