Captive Portals के लिए WeChat OAuth प्रमाणीकरण को कैसे कॉन्फ़िगर करें
यह तकनीकी मार्गदर्शिका बताती है कि captive portals के लिए WeChat OAuth प्रमाणीकरण को कैसे कॉन्फ़िगर किया जाए। यह चीनी आगंतुकों से सुरक्षित रूप से फ़र्स्ट-पार्टी डेटा कैप्चर करने के लिए आवश्यक प्लेटफ़ॉर्म पंजीकरण, OAuth 2.0 फ़्लो, स्कोप चयन और नेटवर्क प्रवर्तन तंत्र का विवरण देता है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश (Executive Summary)
- तकनीकी आर्किटेक्चर (Technical Architecture)
- प्लेटफ़ॉर्म पंजीकरण आवश्यकताएँ (Platform Registration Requirements)
- WeChat ऑफिशियल अकाउंट्स प्लेटफ़ॉर्म (WeChat Official Accounts Platform)
- WeChat ओपन प्लेटफॉर्म
- स्कोप चयन और डेटा संग्रह
- snsapi_base
- snsapi_userinfo
- नेटवर्क प्रवर्तन एकीकरण
- RADIUS चेंज ऑफ ऑथराइजेशन (CoA)
- MAC एड्रेस बाईपास
- अनुपालन और सुरक्षा संबंधी विचार
- GDPR और PIPL संरेखण
- CSRF सुरक्षा
- Redirect URI सत्यापन

कार्यकारी सारांश (Executive Summary)
जब चीनी पर्यटक आपके WiFi से जुड़ते हैं, तो केवल ईमेल या Facebook लॉगिन विकल्पों वाला स्प्लैश पेज दिखाना प्रवेश में एक तत्काल बाधा उत्पन्न करता है। 13.8 बिलियन मासिक सक्रिय उपयोगकर्ताओं के साथ, WeChat को एक पहचान प्रदाता (identity provider) के रूप में कॉन्फ़िगर करना इस बाधा को दूर करता है। यह गाइड प्रदर्शित करती है कि Captive Portals के लिए WeChat OAuth 2.0 प्रमाणीकरण को कैसे लागू किया जाए, जिसमें आवश्यक प्लेटफ़ॉर्म पंजीकरण, OAuth फ़्लो, और सफल लॉगिन को नेटवर्क एक्सेस में बदलने के लिए आवश्यक नेटवर्क प्रवर्तन तंत्र का विवरण दिया गया है। हम GDPR और PIPL के तहत अनुपालन आवश्यकताओं के साथ-साथ एंटरप्राइज़-ग्रेड हार्डवेयर के लिए तकनीकी कार्यान्वयन को कवर करेंगे।
तकनीकी आर्किटेक्चर (Technical Architecture)
Captive Portal अप्रमाणित उपकरणों से HTTP ट्रैफ़िक को रोकता है और उन्हें पोर्टल सर्वर पर होस्ट किए गए स्प्लैश पेज पर रीडायरेक्ट करता है। जब आप WeChat OAuth को एकीकृत करते हैं, तो आप इस फ़्लो में एक तीसरे पक्ष के पहचान प्रदाता को शामिल करते हैं।

यहाँ चरण-दर-चरण सटीक इंटरैक्शन दिया गया है:
1.Visitor SSID से कनेक्ट होता है।
2. वायरलेस एक्सेस पॉइंट (AP) या वायरलेस कंट्रोलर प्रमाणित सत्र की कमी का पता लगाता है और HTTP ट्रैफ़िक को Captive Portal URL पर रीडायरेक्ट करता है।
3. Visitor WeChat लॉगिन का चयन करता है।
4. पोर्टल सर्वर ब्राउज़र को WeChat के प्राधिकरण एंडपॉइंट (open.weixin.qq.com) पर रीडायरेक्ट करता है, जिसमें AppID, redirect_uri, response_type=code, और scope पास किया जाता है।
5. WeChat प्रमाणीकरण को संभालता है। यदि Visitor snsapi_base स्कोप का उपयोग करके WeChat इन-ऐप ब्राउज़र के अंदर है, तो यह बिना किसी सूचना के पृष्ठभूमि में हो जाता है।
6. WeChat एक अस्थायी प्राधिकरण कोड के साथ पोर्टल के redirect_uri पर वापस रीडायरेक्ट करता है।
7. पोर्टल सर्वर api.weixin.qq.com/sns/oauth2/access_token को कॉल करके एक्सेस टोकन के लिए इस कोड का आदान-प्रदान करता है।
8. WeChat access_token, refresh_token, और उपयोगकर्ता का openid लौटाता है।
प्लेटफ़ॉर्म पंजीकरण आवश्यकताएँ (Platform Registration Requirements)
WeChat लॉगिन को लागू करने के लिए सही डेवलपर प्लेटफ़ॉर्म पर पंजीकरण की आवश्यकता होती है। WeChat दो अलग-अलग प्लेटफ़ॉर्म संचालित करता है, और गलत प्लेटफ़ॉर्म का चयन करने से एकीकरण विफल हो जाएगा।
WeChat ऑफिशियल अकाउंट्स प्लेटफ़ॉर्म (WeChat Official Accounts Platform)
WeChat इन-ऐप ब्राउज़र के अंदर दिखाए जाने वाले Captive Portals के लिए, आपको WeChat ऑफिशियल अकाउंट्स प्लेटफॉर्म (mp.weixin.qq.com) पर रजिस्टर्ड एक सर्विस अकाउंट की आवश्यकता होती है। सब्सक्रिप्शन अकाउंट्स में आवश्यक OAuth वेबपेज ऑथराइजेशन अनुमतियों की कमी होती है। सर्विस अकाउंट्स snsapi_base और snsapi_userinfo दोनों स्कोप्स का समर्थन करते हैं।
WeChat ओपन प्लेटफॉर्म
WeChat के बाहर मानक मोबाइल ब्राउज़रों (जैसे, Android पर Chrome या iOS पर Safari) से एक्सेस किए जाने वाले Captive Portals के लिए, आपको ओपन प्लेटफॉर्म (open.weixin.qq.com) पर रजिस्टर्ड एक वेबसाइट एप्लिकेशन की आवश्यकता होती है। यह snsapi_login स्कोप का उपयोग करता है और उपयोगकर्ता को अपने WeChat ऐप से स्कैन करने के लिए एक QR कोड दिखाता है।
सभी एक्सेस पाथवेज को कवर करने के लिए अधिकांश एंटरप्राइज डिप्लॉयमेंट को दोनों रजिस्ट्रेशन की आवश्यकता होती है।
स्कोप चयन और डेटा संग्रह
स्कोप पैरामीटर यह निर्धारित करता है कि WeChat आपके पोर्टल सर्वर को क्या डेटा लौटाता है। यह निर्णय उपयोगकर्ता की परेशानी और डेटा गोपनीयता अनुपालन दोनों को प्रभावित करता है।

snsapi_base
यह स्कोप केवल OpenID लौटाता है, जो आपके ऑफिशियल अकाउंट के भीतर उपयोगकर्ता के लिए विशिष्ट पहचानकर्ता है। इसके लिए किसी उपयोगकर्ता ऑथराइजेशन प्रॉम्प्ट की आवश्यकता नहीं होती है, जिससे ऑथराइजेशन चुपचाप हो जाता है। यह उन लौटने वाले विजिटर्स के लिए इष्टतम है जहां आपके पास पहले से ही एक प्रोफ़ाइल है, या उन स्थानों के लिए जो नए डेटा संग्रह के बजाय शून्य परेशानी को प्राथमिकता देते हैं।
snsapi_userinfo
यह स्कोप OpenID के साथ-साथ उपयोगकर्ता का WeChat उपनाम (nickname), प्रोफ़ाइल पिक्चर, लिंग, भाषा सेटिंग्स और शहर लौटाता है। इसके लिए एक स्पष्ट ऑथराइजेशन पेज की आवश्यकता होती है, जिससे परेशानी बढ़ती है। इसका उपयोग पहली बार आने वाले विजिटर रजिस्ट्रेशन के लिए करें जहां एक प्रोफ़ाइल स्थापित करना आवश्यक हो, जिसे GDPR-अनुपालन सहमति परत के साथ जोड़ा गया हो।
नेटवर्क प्रवर्तन एकीकरण
एक OAuth टोकन प्राप्त करना पहचान साबित करता है, लेकिन यह नेटवर्क नहीं खोलता है। आपको मानक प्रोटोकॉल का उपयोग करके सफल ऑथराइजेशन को नेटवर्क एक्सेस में बदलना होगा।
RADIUS चेंज ऑफ ऑथराइजेशन (CoA)
IEEE 802.1X और RFC 3576 में परिभाषित, RADIUS CoA पोर्टल सर्वर को सफल OAuth पर नेटवर्क कंट्रोलर को एक अनुरोध भेजने की अनुमति देता है। कंट्रोलर फिर डिवाइस को एक अनऑथेंटिकेटेड VLAN से गेस्ट VLAN में ले जाता है। यह Cisco Meraki, HPE Aruba, Ruckus, और Juniper Mist सहित एंटरप्राइज-ग्रेड हार्डवेयर के लिए मानक है।
MAC एड्रेस बाईपास
वैकल्पिक रूप से, पोर्टल सर्वर डिवाइस के MAC एड्रेस को एक ऑथराइज्ड क्लाइंट के रूप में रजिस्टर करता है, और कंट्रोलर एक्सेस की अनुमति देता है। हालांकि इसे लागू करना आसान है, लेकिन यह कम सुरक्षित है क्योंकि MAC एड्रेस को स्पूफ किया जा सकता है।
Purple की क्लाउड ओवरले तकनीक इस हैंडऑफ को ऑटोमेट करती है, और WeChat OAuth पूरा होने के बाद अंतर्निहित हार्डवेयर (Ubiquiti UniFi, Cambium, Extreme और Fortinet सहित) को उचित सिग्नल भेजती है।
अनुपालन और सुरक्षा संबंधी विचार
GDPR और PIPL संरेखण
यदि आप यूरोपीय आगंतुकों को सेवा प्रदान करते हैं, तो WeChat OAuth के माध्यम से एकत्र किए गए डेटा पर GDPR लागू होता है। यदि आप चीनी आगंतुकों को सेवा प्रदान करते हैं, तो चीन का Personal Information Protection Law (PIPL) लागू होता है। दोनों ढांचों के लिए आवश्यक है कि प्रोसेसिंग का एक कानूनी आधार हो, स्पष्ट उद्देश्य सीमा हो, और डेटा न्यूनीकरण हो। snsapi_userinfo स्कोप की तुलना में, snsapi_base स्कोप को डेटा न्यूनीकरण सिद्धांतों के साथ संरेखित करना आसान है।
CSRF सुरक्षा
OAuth अनुरोधों में state पैरामीटर Cross-Site Request Forgery को रोकता है। आपको एक क्रिप्टोग्राफिक रूप से रैंडम स्टेट वैल्यू उत्पन्न करनी होगी, इसे उपयोगकर्ता सत्र में संग्रहीत करना होगा, और WeChat द्वारा वापस रीडायरेक्ट करने पर इसे सत्यापित करना होगा।
Redirect URI सत्यापन
WeChat प्लेटफ़ॉर्म पर पंजीकृत अधिकृत डोमेन के विरुद्ध redirect_uri को सत्यापित करता है। यदि आपका पोर्टल सर्वर एक अलग सबडोमेन, पाथ का उपयोग करता है, या HTTPS के बजाय HTTP का उपयोग करता है, तो OAuth फ़्लो त्रुटि 40029 के साथ विफल हो जाएगा।
अपने नेटवर्क को सुरक्षित रखने के बारे में अधिक जानकारी के लिए, हमारी Enterprise WiFi Security: A Complete Guide for 2026 देखें।
मुख्य परिभाषाएं
snsapi_base
एक WeChat OAuth स्कोप जो सहमति प्रॉम्ट प्रदर्शित किए बिना केवल उपयोगकर्ता की OpenID लौटाता है।
इसका उपयोग तब किया जाता है जब IT टीमों को लॉगिन घर्षण पैदा किए बिना लौटने वाले आगंतुकों को साइलेंट रूप से प्रमाणित करने की आवश्यकता होती है।
snsapi_userinfo
एक WeChat OAuth स्कोप जो जनसांख्यिकीय डेटा (उपनाम, लिंग, शहर) के साथ OpenID लौटाता है और इसके लिए स्पष्ट उपयोगकर्ता सहमति की आवश्यकता होती है।
पहली बार पंजीकरण के दौरान उपयोग किया जाता है जब मार्केटिंग टीमों को विज़िटर प्रोफ़ाइल बनाने की आवश्यकता होती है।
OpenID
एक विशिष्ट WeChat Official Account के भीतर एक विशिष्ट उपयोगकर्ता के लिए एक अद्वितीय पहचानकर्ता।
आगंतुक व्यवहार और वापसी विज़िट को ट्रैक करने के लिए पोर्टल डेटाबेस में प्राथमिक कुंजी के रूप में उपयोग किया जाता है।
RADIUS CoA
Change of Authorisation। RFC 3576 में परिभाषित एक तंत्र जो सर्वर को सक्रिय सत्र की प्राधिकरण स्थिति को संशोधित करने की अनुमति देता है।
पोर्टल सर्वर द्वारा वायरलेस कंट्रोलर को सफल WeChat प्रमाणीकरण के बाद नेटवर्क एक्सेस प्रदान करने के लिए कहने के लिए उपयोग किया जाता है।
PIPL
Personal Information Protection Law। चीन का व्यापक डेटा गोपनीयता नियमन।
WeChat लॉगिन का उपयोग करने वाले चीनी आगंतुकों के लिए सहमति फ़्लो डिज़ाइन करते समय GDPR के साथ इस पर भी विचार किया जाना चाहिए।
AppID and AppSecret
आपके एप्लिकेशन की पहचान और प्रमाणीकरण के लिए WeChat द्वारा प्रदान किए गए क्रेडेंशियल।
AppSecret को पोर्टल सर्वर पर सुरक्षित रहना चाहिए और क्लाइंट-साइड कोड में कभी भी उजागर नहीं किया जाना चाहिए।
State Parameter
OAuth अनुरोध में पारित किया गया और वापसी पर मान्य किया गया एक क्रिप्टोग्राफ़िक रूप से रैंडम स्ट्रिंग।
Captive portal पर क्रॉस-साइट अनुरोध जालसाजी (CSRF) हमलों को रोकने के लिए आवश्यक है।
MAC Address Bypass
802.1X प्रमाणीकरण की आवश्यकता के बजाय डिवाइस के हार्डवेयर एड्रेस को अधिकृत करके नेटवर्क एक्सेस प्रदान करने की एक विधि।
सरल नेटवर्क सेटअप के लिए RADIUS CoA का एक विकल्प, हालांकि कम सुरक्षित है।
हल किए गए उदाहरण
लंदन में एक लक्ज़री रिटेल ब्रांड चीनी खरीदारों के लिए WeChat लॉगिन की पेशकश करना चाहता है। वे अपने ग्राहक आधार को समझने के लिए जनसांख्यिकीय डेटा एकत्र करना चाहते हैं, लेकिन वे GDPR अनुपालन और पोर्टल पर उच्च ड्रॉप-ऑफ़ दरों को लेकर चिंतित हैं।
रिटेलर को WeChat Official Accounts Platform पर एक सर्विस अकाउंट पंजीकृत करना चाहिए। जनसांख्यिकीय डेटा (उपनाम, लिंग, शहर) एकत्र करने के लिए उन्हें पहली बार कनेक्शन के लिए snsapi_userinfo स्कोप का उपयोग करने के लिए पोर्टल को कॉन्फ़िगर करना होगा। GDPR अनुपालन सुनिश्चित करने के लिए, पोर्टल पेज पर WeChat रीडायरेक्ट से पहले एक स्पष्ट, जागरूक-विकल्प ऑप्ट-इन प्रदर्शित होना चाहिए, जिसमें स्पष्ट रूप से बताया गया हो कि कौन सा डेटा एकत्र किया गया है और क्यों। लौटने वाले खरीदारों के लिए, पोर्टल को MAC एड्रेस का पता लगाना चाहिए और साइलेंट री-ऑथेंटिकेशन के लिए snsapi_base का उपयोग करना चाहिए, जिससे घर्षण कम से कम हो।
एक स्टेडियम HPE Aruba कंट्रोलर्स का उपयोग करके एक नया WiFi नेटवर्क तैनात करता है। उन्होंने WeChat OAuth कॉन्फ़िगर किया है, और पोर्टल को सफलतापूर्वक एक्सेस टोकन प्राप्त हो जाता है, लेकिन आगंतुक का डिवाइस captive portal पेज पर ही रहता है और इंटरनेट का उपयोग नहीं कर पाता है।
एकीकरण में नेटवर्क प्रवर्तन तंत्र की कमी है। पोर्टल सर्वर ने WeChat के साथ उपयोगकर्ता की पहचान सत्यापित कर दी है, लेकिन इसने HPE Aruba कंट्रोलर को एक्सेस देने का निर्देश नहीं दिया है। पोर्टल सर्वर को कंट्रोलर को एक RADIUS Change of Authorisation (CoA) संदेश भेजने के लिए कॉन्फ़िगर किया जाना चाहिए, जो उसे उपयोगकर्ता के MAC एड्रेस को प्री-ऑथेंटिकेशन रोल से ऑथेंटिकेटेड गेस्ट रोल में बदलने का निर्देश देता है।
अभ्यास प्रश्न
Q1. आप एक रिटेल चेन में Captive Portal तैनात कर रहे हैं। टेस्टिंग से पता चलता है कि iOS पर Safari में पोर्टल खोलने वाले उपयोगकर्ताओं को WeChat लॉगिन चुनने पर एरर मिलता है, लेकिन WeChat संदेश लिंक के भीतर से पोर्टल खोलने वाले उपयोगकर्ता सफलतापूर्वक प्रमाणित हो जाते हैं। इसका संभावित कारण क्या है?
संकेत: WeChat इन-ऐप ब्राउज़र और मानक मोबाइल ब्राउज़र के बीच अंतर पर विचार करें।
मॉडल उत्तर देखें
कार्यान्वयन संभवतः केवल Official Accounts Platform पर पंजीकृत एक सर्विस अकाउंट पर निर्भर है, जो केवल WeChat इन-ऐप ब्राउज़र के भीतर OAuth का समर्थन करता है। iOS पर Safari का समर्थन करने के लिए, आपको WeChat Open Platform पर एक वेबसाइट एप्लिकेशन भी पंजीकृत करना होगा और Safari उपयोगकर्ताओं को QR कोड फ़्लो पर रूट करने के लिए उपयोगकर्ता एजेंट डिटेक्शन लागू करना होगा।
Q2. आपके पोर्टल सर्वर लॉग एक्सेस टोकन एक्सचेंज के दौरान WeChat API से बार-बार 40029 'invalid code' एरर दिखा रहे हैं। आपको सबसे पहले कौन सा कॉन्फ़िगरेशन जांचना चाहिए?
संकेत: इस बात पर विचार करें कि WeChat प्रमाणीकरण अनुरोध के स्रोत को कैसे मान्य करता है।
मॉडल उत्तर देखें
आपको redirect_uri कॉन्फ़िगरेशन सत्यापित करना चाहिए। WeChat डेवलपर कंसोल में पंजीकृत अधिकृत डोमेन के खिलाफ रीडायरेक्ट URI को कड़ाई से मान्य करता है। यदि पोर्टल एक अलग सबडोमेन का उपयोग कर रहा है, या यदि यह HTTPS को छोड़ देता है, तो WeChat कोड एक्सचेंज को अस्वीकार कर देगा।
Q3. एक स्थल संचालक आगंतुक डेटा एकत्र करना चाहता है लेकिन लॉगिन प्रक्रिया के दौरान शून्य घर्षण (zero friction) पर जोर देता है। वे अनुरोध करते हैं कि आप सहमति संकेत दिखाए बिना आगंतुक का उपनाम और शहर एकत्र करने के लिए WeChat लॉगिन कॉन्फ़िगर करें। आप क्या प्रतिक्रिया देंगे?
संकेत: विभिन्न OAuth स्कोप की क्षमताओं की समीक्षा करें।
मॉडल उत्तर देखें
आपको ऑपरेटर को सूचित करना होगा कि यह तकनीकी रूप से असंभव है। उपनाम और शहर जैसे जनसांख्यिकीय डेटा एकत्र करने के लिए snsapi_userinfo स्कोप की आवश्यकता होती है, जो अनिवार्य रूप से एक WeChat सहमति संकेत को ट्रिगर करता है। शून्य घर्षण प्राप्त करने के लिए, आपको snsapi_base का उपयोग करना चाहिए, जो चुपचाप काम करता है लेकिन केवल OpenID लौटाता है।
इस श्रृंखला में आगे पढ़ें
Ruijie के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें
कैसे Purple का क्लाउड गेस्ट WiFi वेब ऑथेंटिकेशन और RADIUS का उपयोग करके Ruijie RG Series एक्सेस पॉइंट्स के ऊपर काम करता है, जिसे कमांड लाइन से कॉन्फ़िगर किया गया है, और सटीक सेटअप चरण कहाँ खोजें।
B2B Captive Portals डिजाइन करना: पंजीकृत नाम और कंपनी डेटा एकत्र करना
यह गाइड IT प्रबंधकों और स्थल ऑपरेटरों को B2B captive portals डिजाइन करने के लिए एक विक्रेता-तटस्थ तकनीकी ढांचा प्रदान करती है। यह पंजीकृत नाम और कंपनी डेटा को कैप्चर करने के लिए पंजीकरण फ़ील्ड को संरचित करने का विवरण देती है, जिससे GDPR अनुपालन बनाए रखते हुए और खाता-स्तरीय बुद्धिमत्ता का निर्माण करते हुए उच्च पूर्णता दर सुनिश्चित होती है।
कैप्टिव पोर्टल आर्किटेक्चर: सुरक्षा, रीडायरेक्शन और सर्वोत्तम प्रथाएं
एंटरप्राइज कैप्टिव पोर्टल आर्किटेक्चर पर एक निश्चित तकनीकी संदर्भ। यह गाइड सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करने वाले IT लीडर्स के लिए नेटवर्क आइसोलेशन, DNS रीडायरेक्शन, RADIUS ऑथेंटिकेशन और सुरक्षा अनुपालन का विश्लेषण करती है।