मुख्य सामग्री पर जाएं

Captive Portals के लिए WeChat OAuth प्रमाणीकरण को कैसे कॉन्फ़िगर करें

यह तकनीकी मार्गदर्शिका बताती है कि captive portals के लिए WeChat OAuth प्रमाणीकरण को कैसे कॉन्फ़िगर किया जाए। यह चीनी आगंतुकों से सुरक्षित रूप से फ़र्स्ट-पार्टी डेटा कैप्चर करने के लिए आवश्यक प्लेटफ़ॉर्म पंजीकरण, OAuth 2.0 फ़्लो, स्कोप चयन और नेटवर्क प्रवर्तन तंत्र का विवरण देता है।

📖 4 मिनट का पाठ📝 815 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
कैप्टिव पोर्टल्स के लिए WECHAT OAUTH ऑथेंटिकेशन को कैसे कॉन्फ़िगर करें एक Purple तकनीकी ब्रीफिंग - लगभग 10 मिनट --- परिचय और संदर्भ (लगभग 1 मिनट) आपका स्वागत है। यदि आप किसी होटल, रिटेल चेन, स्टेडियम या कॉन्फ्रेंस सेंटर में गेस्ट WiFi के लिए जिम्मेदार हैं जो चीनी आगंतुकों को सेवा प्रदान करता है, तो यह ब्रीफिंग आपके लिए है। Tencent के 2024 के आंकड़ों के अनुसार, WeChat के पास 1.38 बिलियन मासिक सक्रिय उपयोगकर्ता हैं। इनमें से अधिकांश चीन में हैं, लेकिन इस प्लेटफॉर्म का अंतरराष्ट्रीय स्तर पर भी महत्वपूर्ण प्रभाव है - संयुक्त राज्य अमेरिका में चार मिलियन उपयोगकर्ता, मलेशिया में 12 मिलियन, और दक्षिण पूर्व एशिया, यूरोप और मध्य पूर्व में बढ़ती संख्या। जब कोई चीनी मेहमान आपके WiFi से जुड़ता है और केवल ईमेल, Facebook, या वाउचर कोड वाला लॉगिन पेज देखता है, तो उन्हें तुरंत कठिनाई का सामना करना पड़ता है। हो सकता है कि उनके उस डिवाइस पर कोई स्थानीय ईमेल पता सेटअप न हो। लेकिन उनके पास WeChat निश्चित रूप से होता है। इसलिए सवाल यह नहीं है कि क्या आपको WeChat लॉगिन की पेशकश करनी चाहिए - बल्कि यह है कि आप इसे सही ढंग से, सुरक्षित रूप से और इस तरह से कैसे कॉन्फ़िगर करते हैं जिससे ऐसा फर्स्ट-पार्टी डेटा उत्पन्न हो जिसका आप वास्तव में उपयोग कर सकें। आज हम इसी विषय पर चर्चा करने जा रहे हैं। हम OAuth 2.0 फ्लो, दो प्लेटफॉर्म रजिस्ट्रेशन जिनकी आपको आवश्यकता है, स्कोप निर्णय जो यह निर्धारित करता है कि आप कौन सा डेटा एकत्र करते हैं, नेटवर्क-साइड एन्फोर्समेंट मैकेनिज्म, और अनुपालन संबंधी विचार जो 2026 में महत्वपूर्ण हैं, इन सभी को कवर करेंगे। --- तकनीकी गहन विश्लेषण (लगभग 5 मिनट) आइए आर्किटेक्चर से शुरुआत करते हैं। एक Captive Portal अनऑथेंटिकेटेड डिवाइस से HTTP ट्रैफिक को इंटरसेप्ट करता है और उसे एक लॉगिन पेज पर रीडायरेक्ट करता है। वह लॉगिन पेज एक पोर्टल सर्वर पर होस्ट किया जाता है - चाहे वह ऑन-प्रिमाइसेस हो या क्लाउड में। जब आप WeChat OAuth जोड़ते हैं, तो आप उस फ्लो में एक थर्ड-पार्टी आइडेंटिटी प्रोवाइडर को शामिल कर रहे होते हैं। यह इसकी प्रक्रिया है। मेहमान आपके SSID से जुड़ता है। एक्सेस पॉइंट या वायरलेस कंट्रोलर यह पता लगाता है कि डिवाइस का कोई ऑथेंटिकेटेड सेशन नहीं है और वह सभी HTTP ट्रैफिक को आपके Captive Portal URL पर रीडायरेक्ट कर देता है। पोर्टल पेज लोड होता है और लॉगिन विकल्प प्रस्तुत करता है - जिसमें WeChat भी शामिल है। मेहमान WeChat लॉगिन पर टैप करता है। आपका पोर्टल सर्वर ब्राउज़र को open.weixin.qq.com पर WeChat के ऑथराइजेशन एंडपॉइंट पर रीडायरेक्ट करता है, जिसमें आपका AppID, रीडायरेक्ट URI, रिस्पॉन्स टाइप कोड और स्कोप शामिल होते हैं। WeChat पूरी तरह से अपने सर्वर पर ऑथेंटिकेशन को संभालता है। यदि मेहमान अपने ब्राउज़र में पहले से ही WeChat में लॉग इन है, तो उन्हें एक सहमति स्क्रीन दिखाई देती है। यदि वे WeChat इन-ऐप ब्राउज़र का उपयोग कर रहे हैं, तो यह अनुभव snsapi_base स्कोप के साथ बिल्कुल मूक हो सकता है - जिसमें कोई सहमति प्रॉम्प्ट नहीं होता। इसके बाद WeChat एक अस्थायी ऑथराइजेशन कोड के साथ आपके पोर्टल के रीडायरेक्ट URI पर वापस रीडायरेक्ट करता है। आपका पोर्टल सर्वर आपके AppID, AppSecret, कोड और grant type of authorization_code को पास करके api.weixin.qq.com/sns/oauth2/access_token को कॉल करके उस कोड को एक्सेस टोकन में बदल देता है। WeChat एक एक्सेस टोकन, एक रिफ्रेश टोकन, उपयोगकर्ता की OpenID और स्वीकृत स्कोप वापस करता है। यदि आपने snsapi_userinfo स्कोप का अनुरोध किया है, तो आप उपयोगकर्ता का निकनेम, अवतार, जेंडर और शहर प्राप्त करने के लिए दूसरा API कॉल कर सकते हैं।अब, दो प्लेटफॉर्म रजिस्ट्रेशन। यहीं पर अधिकांश इम्प्लीमेंटेशन में गड़बड़ी होती है। WeChat के पास दो अलग-अलग डेवलपर प्लेटफॉर्म हैं। open.weixin.qq.com पर WeChat Open Platform वेबसाइट एप्लिकेशन और मोबाइल ऐप्स को संभालता है। mp.weixin.qq.com पर WeChat Official Accounts Platform पब्लिक अकाउंट्स को संभालता है - जिसकी अधिकांश वेन्यूज को वास्तव में आवश्यकता होती है। WeChat इन-ऐप ब्राउज़र के अंदर मेहमानों को सेवा देने वाले Captive Portal के लिए, आपको Official Accounts Platform पर एक Service Account की आवश्यकता होगी। एक Subscription Account काम नहीं करेगा - इसमें OAuth वेब पेज ऑथराइजेशन अनुमतियां नहीं होती हैं। एक Service Account में यह होती हैं, और यह snsapi_base और snsapi_userinfo दोनों स्कोप का समर्थन करता है। WeChat के बाहर एक मानक मोबाइल ब्राउज़र - Android पर Chrome, iOS पर Safari - से एक्सेस किए जाने वाले Captive Portal के लिए, आपको Open Platform पर रजिस्टर्ड एक वेबसाइट एप्लिकेशन की आवश्यकता होगी। यह snsapi_login स्कोप का उपयोग करता है और एक QR कोड प्रस्तुत करता है जिसे उपयोगकर्ता अपने WeChat ऐप से स्कैन करते हैं। व्यावहारिक रूप से, अधिकांश वेन्यू डिप्लॉयमेंट दोनों का उपयोग करते हैं। किसी होटल के WiFi पर मौजूद मेहमान Chrome में पोर्टल खोल सकता है, QR कोड देख सकता है, उसे WeChat से स्कैन कर सकता है, और ऑथेंटिकेट कर सकता है। या वे WeChat के भीतर ही किसी लिंक का अनुसरण कर सकते हैं, इन-ऐप ब्राउज़र पर जा सकते हैं, और snsapi_base के साथ चुपचाप ऑथेंटिकेट कर सकते हैं। आइए स्कोप सिलेक्शन के बारे में बात करते हैं, क्योंकि यह एक वास्तविक निर्णय बिंदु है। snsapi_base केवल OpenID लौटाता है - आपके Official Account के भीतर उस उपयोगकर्ता के लिए एक विशिष्ट पहचानकर्ता। इसके लिए किसी उपयोगकर्ता सहमति प्रॉम्प्ट की आवश्यकता नहीं होती है। यह ऑथेंटिकेशन उपयोगकर्ता के लिए अदृश्य होता है। यह उन लौटने वाले मेहमानों के लिए आदर्श है जिनकी प्रोफाइलिंग आप पहले ही कर चुके हैं, या उन वेन्यूज के लिए जहां आप शून्य नए डेटा की कीमत पर शून्य घर्षण चाहते हैं। snsapi_userinfo OpenID के साथ-साथ उपयोगकर्ता का WeChat निकनेम, प्रोफाइल पिक्चर, लिंग, भाषा सेटिंग और शहर लौटाता है। इसके लिए एक स्पष्ट सहमति स्क्रीन की आवश्यकता होती है। उपयोगकर्ता को एक प्रॉम्प्ट दिखाई देता है जिसमें पूछा जाता है कि क्या वे आपके Official Account को अपनी जानकारी तक पहुंचने की अनुमति देते हैं। अधिकांश उपयोगकर्ता स्वीकार कर लेते हैं, लेकिन इसमें थोड़ा घर्षण होता है। सही विकल्प आपके उपयोग के मामले पर निर्भर करता है। पहली बार आने वाले मेहमान के रजिस्ट्रेशन के लिए जहां आप एक प्रोफाइल बनाना चाहते हैं, snsapi_userinfo का उपयोग करें और इसे अपने पोर्टल पेज पर GDPR-compliant सहमति लेयर के साथ जोड़ें। लौटने वाले मेहमान के लिए जो पहले ही सहमति दे चुका है और जिसकी प्रोफाइल आपके पास पहले से है, साइलेंट री-ऑथेंटिकेशन के लिए snsapi_base का उपयोग करें। अब, नेटवर्क एनफोर्समेंट पक्ष। OAuth टोकन प्राप्त करना पहचान साबित करता है, लेकिन यह स्वचालित रूप से नेटवर्क नहीं खोलता है। आपको सफल ऑथेंटिकेशन को नेटवर्क एक्सेस में अनुवादित करने के लिए एक तंत्र की आवश्यकता होगी।दो मानक दृष्टिकोण RADIUS Change of Authorisation (RFC 3576 में परिभाषित) और MAC address bypass हैं। RADIUS CoA के साथ, सफल OAuth के बाद आपका पोर्टल सर्वर नेटवर्क कंट्रोलर को एक CoA अनुरोध भेजता है, और कंट्रोलर डिवाइस को अन-ऑथेंटिकेटेड VLAN से गेस्ट VLAN में स्थानांतरित कर देता है। यह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और अधिकांश एंटरप्राइज-ग्रेड कंट्रोलर्स के साथ काम करता है। MAC bypass के साथ, पोर्टल सर्वर डिवाइस के MAC एड्रेस को एक ऑथराइज्ड क्लाइंट के रूप में रजिस्टर करता है, और कंट्रोलर इसकी अनुमति देता है। MAC bypass को लागू करना आसान है लेकिन यह कम सुरक्षित है, क्योंकि MAC एड्रेस को स्पूफ किया जा सकता है। Purple का Guest WiFi प्लेटफॉर्म दोनों मैकेनिज्म को संभालता है। WeChat OAuth पूरा होने के बाद, Purple का क्लाउड ओवरले अंतर्निहित हार्डवेयर - चाहे वह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks, या Fortinet हो - को उचित सिग्नल भेजता है। वेन्यू ऑपरेटर को उस ट्रांसलेशन को मैन्युअल रूप से प्रबंधित करने की आवश्यकता नहीं होती है। - - - लागू करने की सिफारिशें और गलतियाँ (लगभग 2 मिनट) मैं आपको वे पांच चीजें बताता हूं जिनके कारण WeChat OAuth Captive Portal सेटअप विफल हो जाते हैं। पहला: रीडायरेक्ट URI मिसमैच। WeChat आपके द्वारा प्लेटफॉर्म पर रजिस्टर किए गए ऑथराइज्ड डोमेन के खिलाफ रीडायरेक्ट URI को मान्य करता है। यदि आपका पोर्टल सर्वर एक अलग सबडोमेन, एक अलग पाथ, या HTTPS के बजाय HTTP का उपयोग करता है, तो OAuth फ्लो त्रुटि 40029 - अमान्य कोड के साथ विफल हो जाता है। स्टेजिंग एनवायरनमेंट सहित आपके द्वारा उपयोग किए जाने वाले प्रत्येक डोमेन वेरिएंट को रजिस्टर करें। दूसरा: क्लाइंट साइड पर AppSecret। आपका AppSecret कभी भी क्लाइंट-साइड JavaScript या मोबाइल ऐप बाइनरी में दिखाई नहीं देना चाहिए। यह आपके सर्वर पर होना चाहिए। यदि यह एक्सपोज़ होता है, तो कोई भी आपके एप्लिकेशन का रूप धारण कर सकता है और आपकी ओर से WeChat के API को कॉल कर सकता है। तीसरा: गुम CSRF सुरक्षा। OAuth अनुरोध में स्टेट पैरामीटर विशेष रूप से क्रॉस-साइट रिक्वेस्ट फॉर्जरी को रोकने के लिए मौजूद होता है। एक क्रिप्टोग्राफिक रूप से रैंडम स्टेट वैल्यू जेनरेट करें, इसे यूजर के सेशन में स्टोर करें, और WeChat के वापस रीडायरेक्ट करने पर इसे मान्य करें। इसे छोड़ दें और आपके पास एक वास्तविक सुरक्षा जोखिम होगा। चौथा: इन-ऐप ब्राउज़र डिटेक्शन अंतर। WeChat का इन-ऐप ब्राउज़र एक विशिष्ट यूजर एजेंट स्ट्रिंग सेट करता है जिसमें "MicroMessenger" होता है। यदि आपका पोर्टल इसका पता नहीं लगाता है और सही OAuth फ्लो प्रदान नहीं करता है - इन-ऐप ब्राउज़र के लिए ऑफिशियल अकाउंट फ्लो, मानक ब्राउज़र के लिए ओपन प्लेटफॉर्म QR फ्लो - तो यूजर्स को एक खराब अनुभव या त्रुटि मिलती है। पांचवां: GDPR और PIPL संरेखण। यदि आप यूरोपीय विजिटर्स को सेवा प्रदान करते हैं, तो आपके द्वारा WeChat OAuth के माध्यम से एकत्र किए जाने वाले डेटा पर GDPR लागू होता है। यदि आप चीनी विजिटर्स को सेवा प्रदान करते हैं, तो चीन का पर्सनल इंफॉर्मेशन प्रोटेक्शन लॉ - PIPL - इस बात पर लागू होता है कि आप उनके डेटा को कैसे प्रोसेस करते हैं। दोनों को प्रोसेसिंग के लिए एक वैध कानूनी आधार, स्पष्ट उद्देश्य सीमा और डेटा न्यूनीकरण की आवश्यकता होती है। snsapi_base को डेटा न्यूनीकरण सिद्धांतों के तहत snsapi_userinfo की तुलना में सही ठहराना आसान है। आप जो भी एकत्र करते हैं, अपने कानूनी आधार और अपने रिटेंशन पीरियड का दस्तावेजीकरण करें। - - - रैपिड-फायर प्रश्न और उत्तर (लगभग 1 मिनट) प्रश्न: क्या मैं ऐसे पोर्टल पर WeChat लॉगिन का उपयोग कर सकता हूँ जो ईमेल और SMS लॉगिन भी प्रदान करता है? हाँ। Purple सहित अधिकांश एंटरप्राइज़ पोर्टल प्लेटफ़ॉर्म, एक ही पोर्टल पेज पर कई प्रमाणीकरण विधियों का समर्थन करते हैं। WeChat अन्य विकल्पों के साथ एक विकल्प के रूप में दिखाई देता है। प्रश्न: क्या WeChat OAuth iOS पर काम करता है? हाँ, लेकिन एक सूक्ष्म अंतर के साथ। Apple का ऐप ट्रैकिंग ट्रांसपेरेंसी फ्रेमवर्क सर्वर-साइड OAuth फ्लो को प्रभावित नहीं करता है। iOS पर Safari में WeChat लॉगिन QR कोड फ्लो या रीडायरेक्ट फ्लो के माध्यम से काम करता है। WeChat ऐप स्वयं प्रमाणीकरण को संभालता है। प्रश्न: क्या होगा यदि WeChat की API अनुपलब्ध हो? आपके पोर्टल में एक फ़ॉलबैक लागू होना चाहिए। यदि WeChat API कॉल का समय समाप्त हो जाता है या कोई त्रुटि आती है, तो उपयोगकर्ता को वैकल्पिक लॉगिन विधि पर रीडायरेक्ट करें। उन्हें खाली स्क्रीन के साथ न छोड़ें। प्रश्न: क्या मैं एक स्थायी ग्राहक पहचानकर्ता के रूप में OpenID का उपयोग कर सकता हूँ? अपने ऑफिशियल अकाउंट के भीतर, हाँ। OpenID किसी दिए गए उपयोगकर्ता और दिए गए ऑफिशियल अकाउंट के लिए स्थिर रहता है। यदि आपके पास एकाधिक ऑफिशियल अकाउंट हैं, तो उसी उपयोगकर्ता के पास उनके लिए अलग-अलग OpenIDs होंगे। क्रॉस-अकाउंट पहचान रिज़ॉल्यूशन के लिए, WeChat एक UnionID प्रदान करता है, जिसके लिए आपके खातों को ओपन प्लेटफ़ॉर्म पर लिंक करना आवश्यक है। - - - सारांश और अगले कदम (लगभग 1 मिनट) संक्षेप में। कैप्टिव पोर्टल्स के लिए WeChat OAuth प्रमाणीकरण एक दो-प्लेटफ़ॉर्म पंजीकरण अभ्यास, एक स्कोप निर्णय, एक नेटवर्क प्रवर्तन एकीकरण, और एक अनुपालन समीक्षा है। उन चार चीज़ों को सही ढंग से करें और आपके पास एक लॉगिन विधि होगी जो बिना किसी पासवर्ड घर्षण के एक अरब से अधिक संभावित आगंतुकों की सेवा करती है। व्यावहारिक अगले कदम ये हैं। पहला, यह निर्धारित करें कि आपके आगंतुक पोर्टल का सामना WeChat इन-ऐप ब्राउज़र के भीतर करते हैं या मानक मोबाइल ब्राउज़र में - यह निर्धारित करता है कि आपको किस प्लेटफ़ॉर्म पंजीकरण की आवश्यकता है। दूसरा, स्कोप तय करें - लौटने वाले मेहमानों के लिए snsapi_base, सहमति के साथ पहली बार पंजीकरण के लिए snsapi_userinfo। तीसरा, पुष्टि करें कि आपका नेटवर्क हार्डवेयर RADIUS CoA का समर्थन करता है या विकल्प के रूप में MAC बाईपास को कॉन्फ़िगर करें। चौथा, GDPR और PIPL आवश्यकताओं के विरुद्ध अपनी गोपनीयता सूचना और सहमति प्रवाह की समीक्षा करें। पांचवां, लाइव होने से पहले रीडायरेक्ट URI, स्टेट पैरामीटर सत्यापन और इन-ऐप ब्राउज़र डिटेक्शन का परीक्षण करें। यदि आप देखना चाहते हैं कि Purple व्यापक अतिथि WiFi और एनालिटिक्स प्लेटफ़ॉर्म के हिस्से के रूप में WeChat OAuth को कैसे संभालता है - 2024 में 80,000 स्थानों और 440 मिलियन लॉगिन में - तो purple.ai पर जाएँ या अपनी अकाउंट टीम से बात करें। सुनने के लिए धन्यवाद। - - - स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश (Executive Summary)

जब चीनी पर्यटक आपके WiFi से जुड़ते हैं, तो केवल ईमेल या Facebook लॉगिन विकल्पों वाला स्प्लैश पेज दिखाना प्रवेश में एक तत्काल बाधा उत्पन्न करता है। 13.8 बिलियन मासिक सक्रिय उपयोगकर्ताओं के साथ, WeChat को एक पहचान प्रदाता (identity provider) के रूप में कॉन्फ़िगर करना इस बाधा को दूर करता है। यह गाइड प्रदर्शित करती है कि Captive Portals के लिए WeChat OAuth 2.0 प्रमाणीकरण को कैसे लागू किया जाए, जिसमें आवश्यक प्लेटफ़ॉर्म पंजीकरण, OAuth फ़्लो, और सफल लॉगिन को नेटवर्क एक्सेस में बदलने के लिए आवश्यक नेटवर्क प्रवर्तन तंत्र का विवरण दिया गया है। हम GDPR और PIPL के तहत अनुपालन आवश्यकताओं के साथ-साथ एंटरप्राइज़-ग्रेड हार्डवेयर के लिए तकनीकी कार्यान्वयन को कवर करेंगे।

तकनीकी आर्किटेक्चर (Technical Architecture)

Captive Portal अप्रमाणित उपकरणों से HTTP ट्रैफ़िक को रोकता है और उन्हें पोर्टल सर्वर पर होस्ट किए गए स्प्लैश पेज पर रीडायरेक्ट करता है। जब आप WeChat OAuth को एकीकृत करते हैं, तो आप इस फ़्लो में एक तीसरे पक्ष के पहचान प्रदाता को शामिल करते हैं।

architecture_overview.png

यहाँ चरण-दर-चरण सटीक इंटरैक्शन दिया गया है: 1.Visitor SSID से कनेक्ट होता है। 2. वायरलेस एक्सेस पॉइंट (AP) या वायरलेस कंट्रोलर प्रमाणित सत्र की कमी का पता लगाता है और HTTP ट्रैफ़िक को Captive Portal URL पर रीडायरेक्ट करता है। 3. Visitor WeChat लॉगिन का चयन करता है। 4. पोर्टल सर्वर ब्राउज़र को WeChat के प्राधिकरण एंडपॉइंट (open.weixin.qq.com) पर रीडायरेक्ट करता है, जिसमें AppID, redirect_uri, response_type=code, और scope पास किया जाता है। 5. WeChat प्रमाणीकरण को संभालता है। यदि Visitor snsapi_base स्कोप का उपयोग करके WeChat इन-ऐप ब्राउज़र के अंदर है, तो यह बिना किसी सूचना के पृष्ठभूमि में हो जाता है। 6. WeChat एक अस्थायी प्राधिकरण कोड के साथ पोर्टल के redirect_uri पर वापस रीडायरेक्ट करता है। 7. पोर्टल सर्वर api.weixin.qq.com/sns/oauth2/access_token को कॉल करके एक्सेस टोकन के लिए इस कोड का आदान-प्रदान करता है। 8. WeChat access_token, refresh_token, और उपयोगकर्ता का openid लौटाता है।

प्लेटफ़ॉर्म पंजीकरण आवश्यकताएँ (Platform Registration Requirements)

WeChat लॉगिन को लागू करने के लिए सही डेवलपर प्लेटफ़ॉर्म पर पंजीकरण की आवश्यकता होती है। WeChat दो अलग-अलग प्लेटफ़ॉर्म संचालित करता है, और गलत प्लेटफ़ॉर्म का चयन करने से एकीकरण विफल हो जाएगा।

WeChat ऑफिशियल अकाउंट्स प्लेटफ़ॉर्म (WeChat Official Accounts Platform)

WeChat इन-ऐप ब्राउज़र के अंदर दिखाए जाने वाले Captive Portals के लिए, आपको WeChat ऑफिशियल अकाउंट्स प्लेटफॉर्म (mp.weixin.qq.com) पर रजिस्टर्ड एक सर्विस अकाउंट की आवश्यकता होती है। सब्सक्रिप्शन अकाउंट्स में आवश्यक OAuth वेबपेज ऑथराइजेशन अनुमतियों की कमी होती है। सर्विस अकाउंट्स snsapi_base और snsapi_userinfo दोनों स्कोप्स का समर्थन करते हैं।

WeChat ओपन प्लेटफॉर्म

WeChat के बाहर मानक मोबाइल ब्राउज़रों (जैसे, Android पर Chrome या iOS पर Safari) से एक्सेस किए जाने वाले Captive Portals के लिए, आपको ओपन प्लेटफॉर्म (open.weixin.qq.com) पर रजिस्टर्ड एक वेबसाइट एप्लिकेशन की आवश्यकता होती है। यह snsapi_login स्कोप का उपयोग करता है और उपयोगकर्ता को अपने WeChat ऐप से स्कैन करने के लिए एक QR कोड दिखाता है।

सभी एक्सेस पाथवेज को कवर करने के लिए अधिकांश एंटरप्राइज डिप्लॉयमेंट को दोनों रजिस्ट्रेशन की आवश्यकता होती है।

स्कोप चयन और डेटा संग्रह

स्कोप पैरामीटर यह निर्धारित करता है कि WeChat आपके पोर्टल सर्वर को क्या डेटा लौटाता है। यह निर्णय उपयोगकर्ता की परेशानी और डेटा गोपनीयता अनुपालन दोनों को प्रभावित करता है।

scope_comparison_chart.png

snsapi_base

यह स्कोप केवल OpenID लौटाता है, जो आपके ऑफिशियल अकाउंट के भीतर उपयोगकर्ता के लिए विशिष्ट पहचानकर्ता है। इसके लिए किसी उपयोगकर्ता ऑथराइजेशन प्रॉम्प्ट की आवश्यकता नहीं होती है, जिससे ऑथराइजेशन चुपचाप हो जाता है। यह उन लौटने वाले विजिटर्स के लिए इष्टतम है जहां आपके पास पहले से ही एक प्रोफ़ाइल है, या उन स्थानों के लिए जो नए डेटा संग्रह के बजाय शून्य परेशानी को प्राथमिकता देते हैं।

snsapi_userinfo

यह स्कोप OpenID के साथ-साथ उपयोगकर्ता का WeChat उपनाम (nickname), प्रोफ़ाइल पिक्चर, लिंग, भाषा सेटिंग्स और शहर लौटाता है। इसके लिए एक स्पष्ट ऑथराइजेशन पेज की आवश्यकता होती है, जिससे परेशानी बढ़ती है। इसका उपयोग पहली बार आने वाले विजिटर रजिस्ट्रेशन के लिए करें जहां एक प्रोफ़ाइल स्थापित करना आवश्यक हो, जिसे GDPR-अनुपालन सहमति परत के साथ जोड़ा गया हो।

नेटवर्क प्रवर्तन एकीकरण

एक OAuth टोकन प्राप्त करना पहचान साबित करता है, लेकिन यह नेटवर्क नहीं खोलता है। आपको मानक प्रोटोकॉल का उपयोग करके सफल ऑथराइजेशन को नेटवर्क एक्सेस में बदलना होगा।

RADIUS चेंज ऑफ ऑथराइजेशन (CoA)

IEEE 802.1X और RFC 3576 में परिभाषित, RADIUS CoA पोर्टल सर्वर को सफल OAuth पर नेटवर्क कंट्रोलर को एक अनुरोध भेजने की अनुमति देता है। कंट्रोलर फिर डिवाइस को एक अनऑथेंटिकेटेड VLAN से गेस्ट VLAN में ले जाता है। यह Cisco Meraki, HPE Aruba, Ruckus, और Juniper Mist सहित एंटरप्राइज-ग्रेड हार्डवेयर के लिए मानक है।

MAC एड्रेस बाईपास

वैकल्पिक रूप से, पोर्टल सर्वर डिवाइस के MAC एड्रेस को एक ऑथराइज्ड क्लाइंट के रूप में रजिस्टर करता है, और कंट्रोलर एक्सेस की अनुमति देता है। हालांकि इसे लागू करना आसान है, लेकिन यह कम सुरक्षित है क्योंकि MAC एड्रेस को स्पूफ किया जा सकता है।

Purple की क्लाउड ओवरले तकनीक इस हैंडऑफ को ऑटोमेट करती है, और WeChat OAuth पूरा होने के बाद अंतर्निहित हार्डवेयर (Ubiquiti UniFi, Cambium, Extreme और Fortinet सहित) को उचित सिग्नल भेजती है।

अनुपालन और सुरक्षा संबंधी विचार

GDPR और PIPL संरेखण

यदि आप यूरोपीय आगंतुकों को सेवा प्रदान करते हैं, तो WeChat OAuth के माध्यम से एकत्र किए गए डेटा पर GDPR लागू होता है। यदि आप चीनी आगंतुकों को सेवा प्रदान करते हैं, तो चीन का Personal Information Protection Law (PIPL) लागू होता है। दोनों ढांचों के लिए आवश्यक है कि प्रोसेसिंग का एक कानूनी आधार हो, स्पष्ट उद्देश्य सीमा हो, और डेटा न्यूनीकरण हो। snsapi_userinfo स्कोप की तुलना में, snsapi_base स्कोप को डेटा न्यूनीकरण सिद्धांतों के साथ संरेखित करना आसान है।

CSRF सुरक्षा

OAuth अनुरोधों में state पैरामीटर Cross-Site Request Forgery को रोकता है। आपको एक क्रिप्टोग्राफिक रूप से रैंडम स्टेट वैल्यू उत्पन्न करनी होगी, इसे उपयोगकर्ता सत्र में संग्रहीत करना होगा, और WeChat द्वारा वापस रीडायरेक्ट करने पर इसे सत्यापित करना होगा।

Redirect URI सत्यापन

WeChat प्लेटफ़ॉर्म पर पंजीकृत अधिकृत डोमेन के विरुद्ध redirect_uri को सत्यापित करता है। यदि आपका पोर्टल सर्वर एक अलग सबडोमेन, पाथ का उपयोग करता है, या HTTPS के बजाय HTTP का उपयोग करता है, तो OAuth फ़्लो त्रुटि 40029 के साथ विफल हो जाएगा।

अपने नेटवर्क को सुरक्षित रखने के बारे में अधिक जानकारी के लिए, हमारी Enterprise WiFi Security: A Complete Guide for 2026 देखें।

मुख्य परिभाषाएं

snsapi_base

एक WeChat OAuth स्कोप जो सहमति प्रॉम्ट प्रदर्शित किए बिना केवल उपयोगकर्ता की OpenID लौटाता है।

इसका उपयोग तब किया जाता है जब IT टीमों को लॉगिन घर्षण पैदा किए बिना लौटने वाले आगंतुकों को साइलेंट रूप से प्रमाणित करने की आवश्यकता होती है।

snsapi_userinfo

एक WeChat OAuth स्कोप जो जनसांख्यिकीय डेटा (उपनाम, लिंग, शहर) के साथ OpenID लौटाता है और इसके लिए स्पष्ट उपयोगकर्ता सहमति की आवश्यकता होती है।

पहली बार पंजीकरण के दौरान उपयोग किया जाता है जब मार्केटिंग टीमों को विज़िटर प्रोफ़ाइल बनाने की आवश्यकता होती है।

OpenID

एक विशिष्ट WeChat Official Account के भीतर एक विशिष्ट उपयोगकर्ता के लिए एक अद्वितीय पहचानकर्ता।

आगंतुक व्यवहार और वापसी विज़िट को ट्रैक करने के लिए पोर्टल डेटाबेस में प्राथमिक कुंजी के रूप में उपयोग किया जाता है।

RADIUS CoA

Change of Authorisation। RFC 3576 में परिभाषित एक तंत्र जो सर्वर को सक्रिय सत्र की प्राधिकरण स्थिति को संशोधित करने की अनुमति देता है।

पोर्टल सर्वर द्वारा वायरलेस कंट्रोलर को सफल WeChat प्रमाणीकरण के बाद नेटवर्क एक्सेस प्रदान करने के लिए कहने के लिए उपयोग किया जाता है।

PIPL

Personal Information Protection Law। चीन का व्यापक डेटा गोपनीयता नियमन।

WeChat लॉगिन का उपयोग करने वाले चीनी आगंतुकों के लिए सहमति फ़्लो डिज़ाइन करते समय GDPR के साथ इस पर भी विचार किया जाना चाहिए।

AppID and AppSecret

आपके एप्लिकेशन की पहचान और प्रमाणीकरण के लिए WeChat द्वारा प्रदान किए गए क्रेडेंशियल।

AppSecret को पोर्टल सर्वर पर सुरक्षित रहना चाहिए और क्लाइंट-साइड कोड में कभी भी उजागर नहीं किया जाना चाहिए।

State Parameter

OAuth अनुरोध में पारित किया गया और वापसी पर मान्य किया गया एक क्रिप्टोग्राफ़िक रूप से रैंडम स्ट्रिंग।

Captive portal पर क्रॉस-साइट अनुरोध जालसाजी (CSRF) हमलों को रोकने के लिए आवश्यक है।

MAC Address Bypass

802.1X प्रमाणीकरण की आवश्यकता के बजाय डिवाइस के हार्डवेयर एड्रेस को अधिकृत करके नेटवर्क एक्सेस प्रदान करने की एक विधि।

सरल नेटवर्क सेटअप के लिए RADIUS CoA का एक विकल्प, हालांकि कम सुरक्षित है।

हल किए गए उदाहरण

लंदन में एक लक्ज़री रिटेल ब्रांड चीनी खरीदारों के लिए WeChat लॉगिन की पेशकश करना चाहता है। वे अपने ग्राहक आधार को समझने के लिए जनसांख्यिकीय डेटा एकत्र करना चाहते हैं, लेकिन वे GDPR अनुपालन और पोर्टल पर उच्च ड्रॉप-ऑफ़ दरों को लेकर चिंतित हैं।

रिटेलर को WeChat Official Accounts Platform पर एक सर्विस अकाउंट पंजीकृत करना चाहिए। जनसांख्यिकीय डेटा (उपनाम, लिंग, शहर) एकत्र करने के लिए उन्हें पहली बार कनेक्शन के लिए snsapi_userinfo स्कोप का उपयोग करने के लिए पोर्टल को कॉन्फ़िगर करना होगा। GDPR अनुपालन सुनिश्चित करने के लिए, पोर्टल पेज पर WeChat रीडायरेक्ट से पहले एक स्पष्ट, जागरूक-विकल्प ऑप्ट-इन प्रदर्शित होना चाहिए, जिसमें स्पष्ट रूप से बताया गया हो कि कौन सा डेटा एकत्र किया गया है और क्यों। लौटने वाले खरीदारों के लिए, पोर्टल को MAC एड्रेस का पता लगाना चाहिए और साइलेंट री-ऑथेंटिकेशन के लिए snsapi_base का उपयोग करना चाहिए, जिससे घर्षण कम से कम हो।

परीक्षक की टिप्पणी: यह दृष्टिकोण उपयोगकर्ता अनुभव के साथ डेटा संग्रह को संतुलित करता है। पहली बार आने पर उच्च-घर्षण वाले `snsapi_userinfo` फ़्लो को सीमित करके और बाद में `snsapi_base` का उपयोग करके, रिटेलर डेटा न्यूनतमकरण सिद्धांतों के अनुरूप रहते हुए रूपांतरण को अधिकतम करता है।

एक स्टेडियम HPE Aruba कंट्रोलर्स का उपयोग करके एक नया WiFi नेटवर्क तैनात करता है। उन्होंने WeChat OAuth कॉन्फ़िगर किया है, और पोर्टल को सफलतापूर्वक एक्सेस टोकन प्राप्त हो जाता है, लेकिन आगंतुक का डिवाइस captive portal पेज पर ही रहता है और इंटरनेट का उपयोग नहीं कर पाता है।

एकीकरण में नेटवर्क प्रवर्तन तंत्र की कमी है। पोर्टल सर्वर ने WeChat के साथ उपयोगकर्ता की पहचान सत्यापित कर दी है, लेकिन इसने HPE Aruba कंट्रोलर को एक्सेस देने का निर्देश नहीं दिया है। पोर्टल सर्वर को कंट्रोलर को एक RADIUS Change of Authorisation (CoA) संदेश भेजने के लिए कॉन्फ़िगर किया जाना चाहिए, जो उसे उपयोगकर्ता के MAC एड्रेस को प्री-ऑथेंटिकेशन रोल से ऑथेंटिकेटेड गेस्ट रोल में बदलने का निर्देश देता है।

परीक्षक की टिप्पणी: यह पहचान सत्यापन और नेटवर्क एक्सेस कंट्रोल के बीच अंतर को उजागर करता है। एंटरप्राइज़ नेटवर्क को वेब एप्लिकेशन (पोर्टल) और नेटवर्क इंफ्रास्ट्रक्चर के बीच की खाई को पाटने के लिए RADIUS CoA जैसे प्रोटोकॉल की आवश्यकता होती है।

अभ्यास प्रश्न

Q1. आप एक रिटेल चेन में Captive Portal तैनात कर रहे हैं। टेस्टिंग से पता चलता है कि iOS पर Safari में पोर्टल खोलने वाले उपयोगकर्ताओं को WeChat लॉगिन चुनने पर एरर मिलता है, लेकिन WeChat संदेश लिंक के भीतर से पोर्टल खोलने वाले उपयोगकर्ता सफलतापूर्वक प्रमाणित हो जाते हैं। इसका संभावित कारण क्या है?

संकेत: WeChat इन-ऐप ब्राउज़र और मानक मोबाइल ब्राउज़र के बीच अंतर पर विचार करें।

मॉडल उत्तर देखें

कार्यान्वयन संभवतः केवल Official Accounts Platform पर पंजीकृत एक सर्विस अकाउंट पर निर्भर है, जो केवल WeChat इन-ऐप ब्राउज़र के भीतर OAuth का समर्थन करता है। iOS पर Safari का समर्थन करने के लिए, आपको WeChat Open Platform पर एक वेबसाइट एप्लिकेशन भी पंजीकृत करना होगा और Safari उपयोगकर्ताओं को QR कोड फ़्लो पर रूट करने के लिए उपयोगकर्ता एजेंट डिटेक्शन लागू करना होगा।

Q2. आपके पोर्टल सर्वर लॉग एक्सेस टोकन एक्सचेंज के दौरान WeChat API से बार-बार 40029 'invalid code' एरर दिखा रहे हैं। आपको सबसे पहले कौन सा कॉन्फ़िगरेशन जांचना चाहिए?

संकेत: इस बात पर विचार करें कि WeChat प्रमाणीकरण अनुरोध के स्रोत को कैसे मान्य करता है।

मॉडल उत्तर देखें

आपको redirect_uri कॉन्फ़िगरेशन सत्यापित करना चाहिए। WeChat डेवलपर कंसोल में पंजीकृत अधिकृत डोमेन के खिलाफ रीडायरेक्ट URI को कड़ाई से मान्य करता है। यदि पोर्टल एक अलग सबडोमेन का उपयोग कर रहा है, या यदि यह HTTPS को छोड़ देता है, तो WeChat कोड एक्सचेंज को अस्वीकार कर देगा।

Q3. एक स्थल संचालक आगंतुक डेटा एकत्र करना चाहता है लेकिन लॉगिन प्रक्रिया के दौरान शून्य घर्षण (zero friction) पर जोर देता है। वे अनुरोध करते हैं कि आप सहमति संकेत दिखाए बिना आगंतुक का उपनाम और शहर एकत्र करने के लिए WeChat लॉगिन कॉन्फ़िगर करें। आप क्या प्रतिक्रिया देंगे?

संकेत: विभिन्न OAuth स्कोप की क्षमताओं की समीक्षा करें।

मॉडल उत्तर देखें

आपको ऑपरेटर को सूचित करना होगा कि यह तकनीकी रूप से असंभव है। उपनाम और शहर जैसे जनसांख्यिकीय डेटा एकत्र करने के लिए snsapi_userinfo स्कोप की आवश्यकता होती है, जो अनिवार्य रूप से एक WeChat सहमति संकेत को ट्रिगर करता है। शून्य घर्षण प्राप्त करने के लिए, आपको snsapi_base का उपयोग करना चाहिए, जो चुपचाप काम करता है लेकिन केवल OpenID लौटाता है।

इस श्रृंखला में आगे पढ़ें

Ruijie के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें

कैसे Purple का क्लाउड गेस्ट WiFi वेब ऑथेंटिकेशन और RADIUS का उपयोग करके Ruijie RG Series एक्सेस पॉइंट्स के ऊपर काम करता है, जिसे कमांड लाइन से कॉन्फ़िगर किया गया है, और सटीक सेटअप चरण कहाँ खोजें।

गाइड पढ़ें →

B2B Captive Portals डिजाइन करना: पंजीकृत नाम और कंपनी डेटा एकत्र करना

यह गाइड IT प्रबंधकों और स्थल ऑपरेटरों को B2B captive portals डिजाइन करने के लिए एक विक्रेता-तटस्थ तकनीकी ढांचा प्रदान करती है। यह पंजीकृत नाम और कंपनी डेटा को कैप्चर करने के लिए पंजीकरण फ़ील्ड को संरचित करने का विवरण देती है, जिससे GDPR अनुपालन बनाए रखते हुए और खाता-स्तरीय बुद्धिमत्ता का निर्माण करते हुए उच्च पूर्णता दर सुनिश्चित होती है।

गाइड पढ़ें →

कैप्टिव पोर्टल आर्किटेक्चर: सुरक्षा, रीडायरेक्शन और सर्वोत्तम प्रथाएं

एंटरप्राइज कैप्टिव पोर्टल आर्किटेक्चर पर एक निश्चित तकनीकी संदर्भ। यह गाइड सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करने वाले IT लीडर्स के लिए नेटवर्क आइसोलेशन, DNS रीडायरेक्शन, RADIUS ऑथेंटिकेशन और सुरक्षा अनुपालन का विश्लेषण करती है।

गाइड पढ़ें →