मुख्य सामग्री पर जाएं

Guest WiFi कैप्टिव पोर्टल के साथ WeChat प्रमाणीकरण को एकीकृत करना

यह गाइड बताती है कि एंटरप्राइज़ guest WiFi कैप्टिव पोर्टल में WeChat OAuth 2.0 प्रमाणीकरण को कैसे एकीकृत किया जाए। इसमें डुअल-प्लेटफ़ॉर्म पंजीकरण आवश्यकताओं, फर्स्ट-पार्टी डेटा कैप्चर के लिए स्कोप चयन, RADIUS Change of Authorization के माध्यम से नेटवर्क प्रवर्तन, और GDPR और चीन के PIPL के अनुपालन को शामिल किया गया है। आतिथ्य, खुदरा और कार्यक्रमों में स्थान ऑपरेटरों को बड़े पैमाने पर WeChat लॉगिन guest wifi को तैनात करने के लिए ठोस कार्यान्वयन कदम, वास्तविक केस स्टडीज और सुरक्षा सुदृढ़ीकरण मार्गदर्शन मिलेगा।

📖 8 मिनट का पाठ📝 1,966 शब्द🔧 2 हल किए गए उदाहरण4 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
कैप्टिव पोर्टल के लिए WECHAT OAUTH प्रमाणीकरण को कैसे कॉन्फ़िगर करें एक Purple तकनीकी ब्रीफिंग - लगभग 10 मिनट --- परिचय और संदर्भ (लगभग 1 मिनट) स्वागत है। यदि आप किसी होटल, खुदरा श्रृंखला, स्टेडियम या सम्मेलन केंद्र में guest WiFi के लिए जिम्मेदार हैं जो चीनी विज़िटर्स की सेवा करता है, तो यह ब्रीफिंग आपके लिए है। Tencent के 2024 के आंकड़ों के अनुसार, WeChat के पास 1.38 बिलियन मासिक सक्रिय उपयोगकर्ता हैं। भारी बहुमत चीन में है, लेकिन प्लेटफ़ॉर्म का एक महत्वपूर्ण अंतर्राष्ट्रीय पदचिह्न भी है - संयुक्त राज्य अमेरिका में चार मिलियन उपयोगकर्ता, मलेशिया में 12 मिलियन, और दक्षिण पूर्व एशिया, यूरोप और मध्य पूर्व में बढ़ती संख्या। जब कोई चीनी मेहमान आपके WiFi से कनेक्ट होता है और केवल ईमेल, Facebook या वाउचर कोड वाला लॉगिन पेज देखता है, तो उन्हें तुरंत बाधा का सामना करना पड़ता है। हो सकता है कि उनके पास उस डिवाइस पर स्थानीय ईमेल पता सेट न हो। उनके पास लगभग निश्चित रूप से WeChat है। इसलिए सवाल यह नहीं है कि क्या आपको WeChat लॉगिन की पेशकश करनी चाहिए - बल्कि यह है कि आप इसे सही ढंग से, सुरक्षित रूप से और इस तरह से कैसे कॉन्फ़िगर करते हैं जिससे फर्स्ट-पार्टी डेटा उत्पन्न हो जिसका आप वास्तव में उपयोग कर सकें। आज हम इसी को कवर करने जा रहे हैं। हम OAuth 2.0 फ़्लो, आपके लिए आवश्यक दो प्लेटफ़ॉर्म पंजीकरण, स्कोप निर्णय जो यह निर्धारित करता है कि आप कौन सा डेटा एकत्र करते हैं, नेटवर्क-साइड प्रवर्तन तंत्र, और 2026 में महत्वपूर्ण अनुपालन विचारों के बारे में जानेंगे। --- तकनीकी गहन विश्लेषण (लगभग 5 मिनट) आइए आर्किटेक्चर से शुरू करें। एक कैप्टिव पोर्टल एक अप्रमाणित डिवाइस से HTTP ट्रैफ़िक को रोकता है और इसे लॉगिन पेज पर रीडायरेक्ट करता है। वह लॉगिन पेज एक पोर्टल सर्वर पर होस्ट किया जाता है - या तो ऑन-प्रिमाइसेस या क्लाउड में। जब आप WeChat OAuth जोड़ते हैं, तो आप उस फ़्लो में एक थर्ड-पार्टी पहचान प्रदाता डाल रहे होते हैं। यहाँ अनुक्रम है। मेहमान आपके SSID से कनेक्ट होता है। एक्सेस पॉइंट या वायरलेस कंट्रोलर यह पता लगाता है कि डिवाइस का कोई प्रमाणित सत्र नहीं है और सभी HTTP ट्रैफ़िक को आपके कैप्टिव पोर्टल URL पर रीडायरेक्ट करता है। पोर्टल पेज लोड होता है और लॉगिन विकल्प प्रस्तुत करता है - जिसमें WeChat शामिल है। मेहमान WeChat लॉगिन पर टैप करता है। आपका पोर्टल सर्वर ब्राउज़र को WeChat के प्राधिकरण एंडपॉइंट पर रीडायरेक्ट करता है, जिसमें आपका App ID, रीडायरेक्ट URI, `code` का रिस्पॉन्स टाइप और स्कोप पास किया जाता। WeChat प्रमाणीकरण को पूरी तरह से अपने सर्वर पर संभालता है। यदि मेहमान पहले से ही अपने ब्राउज़र में WeChat में लॉग इन है, तो वे एक सहमति स्क्रीन देखते हैं। यदि वे WeChat इन-ऐप ब्राउज़र का उपयोग कर रहे हैं, तो अनुभव `snsapi_base` स्कोप के साथ मूक हो सकता है - कोई सहमति प्रॉम्प्ट नहीं। WeChat फिर एक अस्थायी ऑथराइजेशन कोड के साथ आपके पोर्टल के रीडायरेक्ट URI पर वापस रीडायरेक्ट करता है। आपका पोर्टल सर्वर उस कोड को एक्सेस टोकन के लिए बदलता है, जिसमें आपका App ID, App Secret, कोड और ऑथराइजेशन कोड का ग्रांट टाइप पास किया जाता है। WeChat एक एक्सेस टोकन, एक रिफ्रेश टोकन, उपयोगकर्ता की Open ID और स्वीकृत स्कोप लौटाता है। यदि आपने `snsapi_userinfo` स्कोप का अनुरोध किया है, तो आप उपयोगकर्ता का उपनाम, प्रोफ़ाइल चित्र, लिंग और शहर प्राप्त करने के लिए दूसरा API कॉल कर सकते हैं। अब, दो प्लेटफ़ॉर्म पंजीकरण। यहीं पर अधिकांश कार्यान्वयन गलत हो जाते हैं। WeChat के पास दो अलग-अलग डेवलपर प्लेटफ़ॉर्म हैं। WeChat Open Platform वेबसाइट अनुप्रयोगों और मोबाइल ऐप्स को संभालता है। WeChat Official Accounts प्लेटफ़ॉर्म सार्वजनिक खातों को संभालता है - जिसकी वास्तव में अधिकांश स्थानों को आवश्यकता होती है। WeChat इन-ऐप ब्राउज़र के भीतर मेहमानों की सेवा करने वाले कैप्टिव पोर्टल के लिए, आपको Official Accounts प्लेटफ़ॉर्म पर एक सर्विस अकाउंट की आवश्यकता होगी। एक सब्सक्रिप्शन अकाउंट काम नहीं करेगा - इसमें OAuth वेब पेज ऑथराइजेशन अनुमतियां नहीं होती हैं। एक सर्विस अकाउंट में होती हैं, और यह `snsapi_base` 和 `snsapi_userinfo` दोनों स्कोप का समर्थन करता है। WeChat के बाहर एक मानक मोबाइल ब्राउज़र से एक्सेस किए गए कैप्टिव पोर्टल के लिए - Android पर Chrome, iOS पर Safari - आपको Open Platform पर पंजीकृत एक वेबसाइट एप्लिकेशन की आवश्यकता होगी। यह `snsapi_login` स्कोप का उपयोग करता है और एक QR कोड प्रस्तुत करता है जिसे उपयोगकर्ता अपने WeChat ऐप से स्कैन करता है। व्यावहारिक रूप से, अधिकांश स्थान परिनियोजन दोनों का उपयोग करते हैं। होटल के WiFi पर एक मेहमान Chrome में पोर्टल खोल सकता है, एक QR कोड देख सकता है, उसे WeChat से स्कैन कर सकता है और प्रमाणित कर सकता है। या वे स्वयं WeChat में एक लिंक का अनुसरण कर सकते हैं, इन-ऐप ब्राउज़र में आ सकते हैं, और `snsapi_base` के साथ मूक रूप से प्रमाणित हो सकते हैं। आइए स्कोप चयन के बारे में बात करें, क्योंकि यह एक वास्तविक निर्णय बिंदु है। `snsapi_base` केवल Open ID लौटाता है - आपके Official Account के भीतर उस उपयोगकर्ता के लिए एक अद्वितीय पहचानकर्ता। इसके लिए किसी उपयोगकर्ता सहमति प्रॉम्प्ट की आवश्यकता नहीं होती है। प्रमाणीकरण उपयोगकर्ता के लिए अदृश्य है। यह उन लौटने वाले मेहमानों के लिए आदर्श है जिनकी प्रोफ़ाइल आपने पहले ही बना ली है, या उन स्थानों के लिए जहाँ आप शून्य बाधा चाहते हैं। `snsapi_userinfo` Open ID के साथ-साथ उपयोगकर्ता का WeChat उपनाम, प्रोफ़ाइल चित्र, लिंग, भाषा सेटिंग और शहर लौटाता है। इसके लिए एक स्पष्ट सहमति स्क्रीन की आवश्यकता होती है। अधिकांश उपयोगकर्ता स्वीकार करते हैं, लेकिन इसमें बाधा होती है। सही चुनाव आपके उपयोग के मामले पर निर्भर करता है। पहली बार मेहमानों के पंजीकरण के लिए जहाँ आप एक प्रोफ़ाइल बनाना चाहते हैं, `snsapi_userinfo` का उपयोग करें और इसे अपने पोर्टल पेज पर एक GDPR-अनुरूप सहमति परत के साथ जोड़ें। एक लौटने वाले मेहमान के लिए जिसने पहले ही सहमति दे दी है और जिसकी प्रोफ़ाइल आपके पास पहले से है, मूक पुन:-प्रमाणीकरण के लिए `snsapi_base` का उपयोग करें। अब, नेटवर्क प्रवर्तन पक्ष। OAuth टोकन प्राप्त करना पहचान साबित करता है, लेकिन यह स्वचालित रूप से नेटवर्क नहीं खोलता है। सफल प्रमाणीकरण को नेटवर्क एक्सेस में अनुवादित करने के लिए आपको एक तंत्र की आवश्यकता है। दो मानक दृष्टिकोण RADIUS Change of Authorization हैं, जो RFC 3576 में परिभाषित हैं, और MAC address bypass हैं। RADIUS CoA के साथ, आपका पोर्टल सर्वर सफल OAuth के बाद नेटवर्क कंट्रोलर को एक CoA अनुरोध भेजता है, और कंट्रोलर डिवाइस को अप्रमाणित VLAN से गेस्ट VLAN में ले जाता है। यह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और अधिकांश एंटरप्राइज़-ग्रेड कंट्रोलर के साथ काम करता है। MAC bypass के साथ, पोर्टल सर्वर डिवाइस के MAC पते को एक अधिकृत क्लाइंट के रूप में पंजीकृत करता है, और कंट्रोलर इसकी अनुमति देता है। MAC bypass लागू करना आसान है लेकिन कम सुरक्षित है, क्योंकि MAC पतों को स्पूफ़ किया जा सकता है। Purple का Guest WiFi प्लेटफ़ॉर्म दोनों तंत्रों को संभालता है। WeChat OAuth पूरा होने के बाद, Purple का क्लाउड ओवरले अंतर्निहित हार्डवेयर को उपयुक्त सिग्नल भेजता है - चाहे वह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, या Fortinet हो। स्थान ऑपरेटर को उस अनुवाद को मैन्युअल रूप से प्रबंधित करने की आवश्यकता नहीं है। --- कार्यान्वयन सिफारिशें और सामान्य गलतियाँ (लगभग 2 मिनट) मैं आपको वे पांच चीजें बताता हूं जो WeChat OAuth कैप्टिव पोर्टल कार्यान्वयन को विफल करती हैं। पहला: रीडायरेक्ट URI बेमेल। WeChat आपके द्वारा प्लेटफ़ॉर्म पर पंजीकृत अधिकृत डोमेन के विरुद्ध रीडायरेक्ट URI को सत्यापित करता है। यदि आपका पोर्टल सर्वर एक अलग सबडोमेन, एक अलग पथ, या HTTPS के बजाय HTTP का उपयोग करता है, तो OAuth फ़्लो त्रुटि 40029 - अमान्य कोड के साथ विफल हो जाता है। स्टेजिंग वातावरण सहित आपके द्वारा उपयोग किए जाने वाले प्रत्येक डोमेन वेरिएंट को पंजीकृत करें। दूसरा: क्लाइंट साइड पर App Secret। आपका App Secret कभी भी क्लाइंट-साइड JavaScript में दिखाई नहीं देना चाहिए। यह आपके सर्वर पर होना चाहिए। यदि यह उजागर हो जाता है, तो कोई भी आपके एप्लिकेशन का रूप धारण कर सकता है और आपकी ओर से WeChat के API को कॉल कर सकता है। तीसरा: गायब CSRF सुरक्षा। OAuth अनुरोध में `state` पैरामीटर विशेष रूप से क्रॉस-साइट अनुरोध जालसाजी को रोकने के लिए मौजूद है। एक क्रिप्टोग्राफ़िक रूप से रैंडम `state` मान उत्पन्न करें, इसे उपयोगकर्ता के सत्र में संग्रहीत करें, और WeChat रीडायरेक्ट वापस आने पर इसे सत्यापित करें। इसे छोड़ दें और आपके पास एक वास्तविक भेद्यता होगी। चौथा: इन-ऐप ब्राउज़र डिटेक्शन गैप। WeChat का इन-ऐप ब्राउज़र एक विशिष्ट उपयोगकर्ता एजेंट स्ट्रिंग सेट करता है जिसमें `MicroMessenger` शामिल होता है। यदि आपका पोर्टल इसका पता नहीं लगाता है और सही OAuth फ़्लो की सेवा नहीं करता है, तो उपयोगकर्ताओं को एक टूटा हुआ अनुभव या त्रुटि मिलती है। पांचवां: GDPR और PIPL संरेखण। यदि आप यूरोपीय विज़िटर्स की सेवा करते हैं, तो GDPR लागू होता है। यदि आप चीनी विज़िटर्स की सेवा करते हैं, तो चीन का व्यक्तिगत सूचना सुरक्षा कानून - PIPL - लागू होता है। दोनों को प्रसंस्करण के लिए एक कानूनी आधार, स्पष्ट उद्देश्य सीमा और डेटा न्यूनीकरण की आवश्यकता होती है। `snsapi_userinfo` की तुलना में डेटा न्यूनीकरण सिद्धांतों के तहत `snsapi_base` को सही ठहराना आसान है। आप जो भी एकत्र करते हैं, अपने कानूनी आधार और अपनी प्रतिधारण अवधि का दस्तावेजीकरण करें। --- रैपिड-फायर प्रश्न और उत्तर (लगभग 1 मिनट) क्या मैं ऐसे पोर्टल पर WeChat लॉगिन का उपयोग कर सकता हूँ जो ईमेल और SMS लॉगिन भी प्रदान करता है? हाँ। Purple सहित अधिकांश एंटरप्राइज़ पोर्टल प्लेटफ़ॉर्म, एक ही पोर्टल पेज पर कई प्रमाणीकरण विधियों का समर्थन करते हैं। क्या WeChat OAuth iOS पर काम करता है? हाँ। iOS पर Safari में WeChat लॉगिन QR कोड फ़्लो या रीडायरेक्ट फ़्लो के माध्यम से काम करता है। WeChat ऐप स्वयं प्रमाणीकरण को संभालता है। यदि WeChat का API अनुपलब्ध हो तो क्या होगा? एक फ़ॉलबैक लागू करें। यदि WeChat API कॉल टाइम आउट हो जाती है या कोई त्रुटि लौटाती है, तो उपयोगकर्ता को एक वैकल्पिक लॉगिन विधि पर रीडायरेक्ट करें। क्या मैं Open ID का उपयोग एक स्थायी ग्राहक पहचानकर्ता के रूप में कर सकता हूँ? आपके Official Account के भीतर, हाँ। कई संपत्तियों में क्रॉस-खाता पहचान समाधान के लिए, इसके बजाय UnionID का उपयोग करें। --- सारांश और अगले कदम (लगभग 1 मिनट) संक्षेप में। कैप्टिव पोर्टल के लिए WeChat OAuth प्रमाणीकरण एक दो-प्लेटफ़ॉर्म पंजीकरण अभ्यास, एक स्कोप निर्णय, एक नेटवर्क प्रवर्तन एकीकरण, और एक अनुपालन समीक्षा है। उन चार चीजों को सही करें और आपके पास एक लॉगिन विधि होगी जो शून्य पासवर्ड बाधा के साथ एक अरब से अधिक संभावित विज़िटर्स की सेवा करती है। व्यावहारिक अगले कदम: यह निर्धारित करें कि आपके विज़िटर्स को WeChat इन-ऐप ब्राउज़र के भीतर या एक मानक मोबाइल ब्राउज़र में पोर्टल का सामना करना पड़ता है। स्कोप तय करें - लौटने वाले मेहमानों के लिए `snsapi_base`, सहमति के साथ पहली बार पंजीकरण के लिए `snsapi_userinfo`। पुष्टि करें कि आपका नेटवर्क हार्डवेयर RADIUS CoA का समर्थन करता है। GDPR और PIPL के विरुद्ध अपने गोपनीयता नोटिस की समीक्षा करें। लाइव होने से पहले रीडायरेक्ट URI, `state` पैरामीटर सत्यापन, और इन-ऐप ब्राउज़र डिटेक्शन का परीक्षण करें। यदि आप देखना चाहते हैं कि Purple एक व्यापक Guest WiFi और विश्लेषणात्मक प्लेटफ़ॉर्म के हिस्से के रूप में WeChat OAuth को कैसे संभालता है - 2024 में 80,000 स्थानों और 440 मिलियन लॉगिन में - तो purple.ai पर जाएं या अपनी खाता टीम से बात करें। सुनने के लिए धन्यवाद। --- स्क्रिप्ट का अंत

header_image.png

सारांश

जब चीनी विज़िटर आपके एंटरप्राइज़ नेटवर्क से कनेक्ट होते हैं और उन्हें एक ऐसा कैप्टिव पोर्टल मिलता है जो केवल ईमेल, Facebook या क्रेडेंशियल कोड प्रदान करता है, तो तुरंत बाधा उत्पन्न होती है। Tencent के 2024 के आंकड़ों के अनुसार, WeChat के पास 1.38 बिलियन मासिक सक्रिय उपयोगकर्ता हैं। Guest WiFi में WeChat लॉगिन को एकीकृत करना केवल एक सुविधा नहीं है, बल्कि बिना किसी बाधा के इस जनसांख्यिकी का फर्स्ट-पार्टी डेटा कैप्चर करने के लिए एक तकनीकी आवश्यकता है।

यह गाइड कैप्टिव पोर्टल में WeChat OAuth 2.0 प्रमाणीकरण को एकीकृत करने के तकनीकी आर्किटेक्चर का विवरण देती है। यह मानक मोबाइल ब्राउज़र और WeChat इन-ऐप ब्राउज़र दोनों का समर्थन करने के लिए आवश्यक डुअल-प्लेटफ़ॉर्म पंजीकरण की व्याख्या करती है, डेटा संग्रह के लिए snsapi_base और snsapi_userinfo स्कोप के बीच के अंतर का मूल्यांकन करती है, और यह बताती है कि नेटवर्क एक्सेस लागू करने के लिए RADIUS Change of Authorization (CoA) या MAC Authentication Bypass का उपयोग कैसे किया जाए। इसमें Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet इंफ्रास्ट्रक्चर में बड़े पैमाने पर इस सुविधा को तैनात करने के लिए आवश्यक सुरक्षा कॉन्फ़िगरेशन और अनुपालन निर्देशों—GDPR और चीन के PIPL (व्यक्तिगत सूचना सुरक्षा कानून)—को भी शामिल किया गया है।


तकनीकी गहन विश्लेषण: WeChat OAuth 2.0 आर्किटेक्चर

कैप्टिव पोर्टल एक अप्रमाणित डिवाइस से HTTP ट्रैफ़िक को रोकता है और इसे पोर्टल सर्वर पर होस्ट किए गए लॉगिन पेज पर रीडायरेक्ट करता है। WeChat प्रमाणीकरण जोड़ने से इस फ़्लो में OAuth 2.0 प्रोटोकॉल का उपयोग करके एक थर्ड-पार्टी प्रमाणीकरण प्रदाता शामिल हो जाता है, जो कि Google, Microsoft Entra ID और Okta द्वारा फ़ेडरेटेड प्रमाणीकरण के लिए उपयोग किए जाने वाले मानक के समान है।

oauth_flow_diagram.png

प्रमाणीकरण फ़्लो इस प्रकार काम करता है: विज़िटर SSID से कनेक्ट होता है। एक्सेस पॉइंट या वायरलेस कंट्रोलर अप्रमाणित सत्र का पता लगाता है और HTTP ट्रैफ़िक को कैप्टिव पोर्टल URL पर रीडायरेक्ट करता है। विज़िटर पोर्टल पेज पर WeChat लॉगिन चुनता है। पोर्टल सर्वर ब्राउज़र को open.weixin.qq.com पर WeChat प्रमाणीकरण एंडपॉइंट पर रीडायरेक्ट करता है, जिसमें AppID, रीडायरेक्ट URI, code का रिस्पॉन्स टाइप और अनुरोधित स्कोप पास किया जाता है। WeChat अपने स्वयं के सर्वर पर प्रमाणीकरण को संभालता है। यदि विज़िटर WeChat इन-ऐप ब्राउज़र के भीतर snsapi_base स्कोप का उपयोग कर रहा है, तो प्रमाणीकरण बिना किसी बाधा के होता है—कोई सहमति प्रॉम्प्ट दिखाई नहीं देता है। यदि snsapi_userinfo का उपयोग किया जाता है, तो WeChat एक सहमति पेज प्रदर्शित करता है। इसके बाद, WeChat एक अस्थायी ऑथराइजेशन कोड के साथ पोर्टल के रीडायरेक्ट URI पर वापस रीडायरेक्ट करता है。पोर्टल सर्वर api.weixin.qq.com/sns/oauth2/access_token को कॉल करके और AppID, AppSecret, ऑथराइजेशन कोड और authorization_code का ग्रांट टाइप पास करके इस ऑथराइजेशन कोड को Access Token से बदलता है। WeChat एक Access Token, Refresh Token, उपयोगकर्ता की OpenID और स्वीकृत स्कोप लौटाता है। यदि snsapi_userinfo स्वीकृत किया गया है, तो सर्वर उपयोगकर्ता का उपनाम, प्रोफ़ाइल चित्र, लिंग और शहर प्राप्त करने के लिए दूसरा API कॉल करता है。

डुअल-प्लेटफ़ॉर्म पंजीकरण आवश्यकताएं

अधिकांश कार्यान्वयन पंजीकरण चरण में विफल हो जाते हैं। WeChat दो अलग-अलग डेवलपर प्लेटफ़ॉर्म संचालित करता है, और एंटरप्राइज़-ग्रेड परिनियोजन के लिए आमतौर पर दोनों की आवश्यकता होती है।

प्लेटफ़ॉर्म URL आवश्यक खाता प्रकार समर्थित स्कोप ब्राउज़र वातावरण
Official Accounts प्लेटफ़ॉर्म mp.weixin.qq.com सर्विस अकाउंट snsapi_base, snsapi_userinfo WeChat इन-ऐप ब्राउज़र
Open Platform open.weixin.qq.com वेबसाइट एप्लिकेशन snsapi_login मानक मोबाइल ब्राउज़र

WeChat इन-ऐप ब्राउज़र के भीतर पोर्टल तक पहुँचने वाले विज़िटर्स के लिए, आपके पास Official Accounts प्लेटफ़ॉर्म पर एक सर्विस अकाउंट होना चाहिए। सब्सक्रिप्शन अकाउंट काम नहीं करेगा—इसमें OAuth वेब पेज ऑथराइजेशन अनुमतियों की कमी होती है। Android पर Chrome या iOS पर Safari जैसे मानक मोबाइल ब्राउज़र से पोर्टल तक पहुँचने वाले विज़िटर्स के लिए, आपके पास Open Platform पर एक वेबसाइट एप्लिकेशन होना चाहिए, जो snsapi_login स्कोप का उपयोग करता है और उपयोगकर्ताओं को स्कैन करने के लिए एक QR कोड प्रदर्शित करता है।

व्यावहारिक रूप से, अधिकांश स्थान परिनियोजन दोनों का उपयोग करते हैं। एक होटल का विज़िटर Chrome में पोर्टल खोल सकता है, एक QR कोड देख सकता है, उसे WeChat से स्कैन कर सकता है और प्रमाणित कर सकता है। या वे सीधे WeChat के भीतर एक लिंक पर क्लिक कर सकते हैं, इन-ऐप ब्राउज़र में प्रवेश कर सकते हैं, 和通过 snsapi_base 进行无感知认证。

स्कोप चयन: डेटा कैप्चर बनाम उपयोगकर्ता बाधा

scope_comparison.png

आपके द्वारा अनुरोधित स्कोप यह निर्धारित करता है कि आप कौन सा डेटा एकत्र करते हैं और विज़िटर को कितनी बाधा का सामना करना पड़ता है। यह अनुपालन प्रभावों के साथ एक व्यावहारिक निर्णय बिंदु है。

snsapi_base केवल OpenID लौटाता है—जो कि आपके Official Account के भीतर उस उपयोगकर्ता का विशिष्ट पहचानकर्ता है। इसके लिए उपयोगकर्ता सहमति प्रॉम्प्ट की आवश्यकता नहीं होती है। विज़िटर के लिए प्रमाणीकरण अदृश्य होता है। यह उन लौटने वाले विज़िटर्स के लिए आदर्श है जिनकी प्रोफ़ाइल आपके पास पहले से है, या उन परिदृश्यों के लिए जहाँ आप बिना किसी बाधा के एक्सेस को प्राथमिकता देते हैं। GDPR और PIPL डेटा न्यूनीकरण सिद्धांतों के तहत, snsapi_base को सही ठहराना आसान है。

snsapi_userinfo OpenID के साथ-साथ उपयोगकर्ता का उपनाम, प्रोफ़ाइल चित्र, लिंग और शहर लौटाता है। इसके लिए एक स्पष्ट सहमति पेज की आवश्यकता होती है। यह पहली बार आने वाले विज़िटर्स के पंजीकरण के लिए उपयुक्त है जहाँ आपको एक प्रोफ़ाइल बनाने की आवश्यकता होती है, जिसे आपके पोर्टल पेज पर एक अनुपालन सहमति परत के साथ जोड़ा जाता है。

मल्टी-प्रॉपर्टी परिनियोजन के लिए UnionID

OpenID किसी विशिष्ट Official Account के साथ उपयोगकर्ता के संयोजन के लिए अद्वितीय होता है। 20 संपत्तियों वाले एक होटल समूह, जिसमें प्रत्येक संपत्ति का अपना Official Account है, को एक ही विज़िटर के लिए 20 अलग-अलग OpenID दिखाई देंगे। UnionID इस समस्या को हल करता है। यह एक एकल पहचानकर्ता है जो एक ही Open Platform खाते के तहत जुड़े सभी Official Accounts और ऐप्स में उपयोगकर्ता का प्रतिनिधित्व करता है। अपने Official Accounts को अपने Open Platform खाते से लिंक करें, और OAuth प्रतिक्रिया में UnionID वापस आ जाएगा। यह मल्टी-प्रॉपर्टी विज़िटर पहचान का आधार है。


कार्यान्वयन गाइड

网络强制执行机制

OAuth टोकन प्राप्त करना केवल पहचान साबित करता है, यह नेटवर्क को नहीं खोलता है। ट्रैफ़िक को अनुमति देने के लिए आपको कंट्रोलर को एक सिग्नल भेजना होगा。

RADIUS Change of Authorization (CoA)(RFC 3576 में परिभाषित)अनुशंसित एंटरप्राइज़-ग्रेड दृष्टिकोण है। सफल OAuth सत्यापन के बाद, पोर्टल सर्वर नेटवर्क कंट्रोलर को एक CoA अनुरोध भेजता है। कंट्रोलर डिवाइस को प्री-ऑथराइजेशन VLAN से गेस्ट VLAN में स्थानांतरित करता है। यह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet के साथ काम करता है。

MAC Authentication Bypass (MAB) डिवाइस के MAC पते को RADIUS डेटाबेस में एक अधिकृत क्लाइंट के रूप में पंजीकृत करता है। कंट्रोलर उस MAC के आधार पर एक्सेस की अनुमति देता है। MAB को लागू करना आसान है लेकिन यह अविश्वसनीय है: आधुनिक iOS और Android डिवाइस डिफ़ॉल्ट रूप से MAC पतों को रैंडमाइज़ करते हैं, जिससे पुन: कनेक्ट होने पर सत्र का जुड़ाव टूट जाता है。

Purple का Guest WiFi प्लेटफ़ॉर्म इस संक्रमण को स्वचालित करता है। WeChat OAuth पूरा होने के बाद, Purple का क्लाउड ओवरले अंतर्निहित हार्डवेयर को उपयुक्त CoA या MAB सिग्नल भेजता है, जिससे मैन्युअल VLAN कॉन्फ़िगरेशन की आवश्यकता समाप्त हो जाती है。

सुरक्षा कॉन्फ़िगरेशन

निम्नलिखित तीन कॉन्फ़िगरेशन गैर-परक्राम्य हैं。

  1. AppSecret को सुरक्षित रखें। AppSecret कभी भी क्लाइंट-साइड JavaScript में दिखाई नहीं देना चाहिए। इसे आपके सर्वर पर रहना चाहिए। यदि यह उजागर हो जाता है, तो हमलावर आपके एप्लिकेशन का रूप धारण कर सकते हैं और आपकी ओर से WeChat API को कॉल कर सकते हैं。
  2. CSRF सुरक्षा लागू करें। एक क्रिप्टोग्राफ़िक रूप से रैंडम state मान उत्पन्न करें, इसे उपयोगकर्ता सत्र में संग्रहीत करें, और WeChat रीडायरेक्ट वापस आने पर इसे सत्यापित करें। यह RFC 6749 में परिभाषित क्रॉस-साइट अनुरोध जालसाजी (CSRF) हमलों को रोकता है。
  3. सभी रीडायरेक्ट URI वेरिएंट पंजीकृत करें。 WeChat आपके द्वारा पंजीकृत डोमेन के विरुद्ध रीडायरेक्ट URI को सत्यापित करता है। 40029 त्रुटि (अमान्य कोड) को रोकने के लिए आपके द्वारा उपयोग किए जाने वाले प्रत्येक सबडोमेन और पथ वेरिएंट (स्टेजिंग वातावरण सहित) को पंजीकृत करें。

इन-ऐप ब्राउज़र डिटेक्शन

WeChat का इन-ऐप ब्राउज़र एक उपयोगकर्ता एजेंट (user agent) स्ट्रिंग सेट करता है जिसमें MicroMessenger शामिल होता है। आपके कैप्टिव पोर्टल को इस स्ट्रिंग का पता लगाना चाहिए और तदनुसार रूट करना चाहिए: इन-ऐप ब्राउज़र Official Accounts फ़्लो का उपयोग करता है, और मानक ब्राउज़र Open Platform QR कोड फ़्लो का उपयोग करता है। इस स्ट्रिंग का पता लगाने में विफलता के परिणामस्वरूप टूटी हुई अनुभव या प्रमाणीकरण त्रुटियां होती हैं。

hotel_wechat_wifi.png


सर्वोत्तम अभ्यास और अनुपालन

GDPR अनुपालन

यदि आप यूरोपीय विज़िटर्स की सेवा करते हैं या यूरोप में काम करते हैं, तो GDPR आपके द्वारा WeChat OAuth के माध्यम से एकत्र किए जाने वाले डेटा पर लागू होता है। आपको प्रसंस्करण के लिए एक वैध कानूनी आधार की पहचान करनी होगी—आमतौर पर सहमति या वैध हित। प्रमाणीकरण से पहले, आपको कैप्टिव पोर्टल पर एक स्पष्ट गोपनीयता नोटिस प्रदान करना होगा। आपको डेटा एक्सेस और विलोपन अनुरोधों का जवाब देना होगा। विस्तृत अनुपालन ढांचे के लिए, अनुपालन प्लेबुक: GDPR और गेस्ट WiFi डेटा गोपनीयता देखें。

PIPL अनुपालन

当您处理中国公民的个人数据时,中国《个人信息保护法》(PIPL)适用。与 GDPR 类似,PIPL 要求明确的目的限制、数据最小化以及书面的合法依据。在数据最小化原则下,snsapi_basesnsapi_userinfo 更容易证明其合理性。无论您收集什么数据,请在上线前记录您的法律依据和保存期限。

网络隔离

गेस्ट WiFi ट्रैफ़िक को अपने कॉर्पोरेट नेटवर्क से अलग करने के लिए VLAN अलगाव का उपयोग करें। WeChat के माध्यम से प्रमाणित विज़िटर्स को एक समर्पित गेस्ट VLAN पर रखा जाना चाहिए, जिसमें केवल इंटरनेट तक पहुँच हो—आंतरिक प्रणालियों तक कोई पहुँच न हो। यह कार्डधारक डेटा पर्यावरण अलगाव के लिए PCI-DSS आवश्यकताओं और सामान्य कॉर्पोरेट सुरक्षा प्रथाओं के अनुरूप है। अलगाव आर्किटेक्चर पर अधिक जानकारी के लिए, बैंडविड्थ प्रबंधन: 2026 व्यावहारिक गाइड देखें。

फ़ॉलबैक प्रमाणीकरण

यदि WeChat का API अनुपलब्ध है, तो आपके पोर्टल को एक वैकल्पिक लॉगिन विधि पर रीडायरेक्ट करना चाहिए। विज़िटर्स को खाली स्क्रीन न दिखाएं। ईमेल या SMS का फ़ॉलबैक प्रदान करना निरंतरता सुनिश्चित करता है। यह परिवहन और स्वास्थ्य सेवा वातावरण में स्थानों के लिए विशेष रूप से महत्वपूर्ण है, जहाँ नेटवर्क कनेक्टिविटी एक सेवा दायित्व है。


वास्तविक केस स्टडीज

आतिथ्य: लक्जरी होटल समूह

लंदन के एक 400 कमरों वाले लक्जरी होटल में मुख्य भूमि चीन से बड़ी संख्या में मेहमान आते थे। उनके मौजूदा कैप्टिव पोर्टल के लिए ईमेल पते और SMS सत्यापन की आवश्यकता थी। चीनी मोबाइल नंबर अक्सर यूरोपीय ऑपरेटरों से SMS प्राप्त करने में विफल रहते थे, और कई मेहमानों के पास अपने उपकरणों पर स्थानीय ईमेल कॉन्फ़िगर नहीं था। इसके परिणामस्वरूप पोर्टल ड्रॉप-ऑफ दर 60% तक पहुँच गई。

होटल ने Official Accounts प्लेटफ़ॉर्म पर एक सर्विस अकाउंट और Open Platform पर एक वेबसाइट एप्लिकेशन पंजीकृत किया। पोर्टल ने MicroMessenger उपयोगकर्ता एजेंट का पता लगाया और इन-ऐप ब्राउज़र उपयोगकर्ताओं के लिए snsapi_base को ट्रिगर किया—उन्हें बिना किसी सहमति पेज के तीन सेकंड से भी कम समय में कनेक्ट कर दिया। Chrome या Safari के माध्यम से पहुँचने वाले मेहमानों को एक QR कोड दिखाया गया। बाद की यात्राओं पर, सिस्टम उसी OpenID को पहचानता है और मेहमानों को बिना पासवर्ड के प्रमाणित करता है। होटल का CRM सिस्टम मेहमान की वापसी को रिकॉर्ड करता है, जिससे लक्षित प्री-आगमन संचार सक्षम होता है। होटल के वातावरण में WiFi तैनात करने के बारे में अधिक जानकारी के लिए, आतिथ्य उद्योग देखें。

खुदरा: शॉपिंग मॉल एनालिटिक्स

एक बड़ा शॉपिंग मॉल किरायेदार मिश्रण और विपणन निर्णयों को सूचित करने के लिए चीनी उपभोक्ताओं से जनसांख्यिकीय डेटा कैप्चर करना चाहता था। उन्हें मूल शहर, लिंग और यात्रा की आवृत्ति जानने की आवश्यकता थी। अकेले snsapi_base पर्याप्त नहीं था—उन्हें snsapi_userinfo की आवश्यकता थी। पोर्टल ने पूर्ण userinfo स्कोप का अनुरोध किया। मेहमानों को WeChat सहमति पेज दिखाया गया और उन्होंने अनुमति पर क्लिक किया। मॉल के विश्लेषणात्मक प्लेटफ़ॉर्म, जो Purple के WiFi Analytics के साथ एकीकृत है, को सत्यापित जनसांख्यिकीय डेटा प्राप्त हुआ। शनिवार की दोपहर को, 40% WiFi उपयोगकर्ता एक विशिष्ट क्षेत्र से थे। इस डेटा ने सीधे तौर पर यह तय करने में मदद की कि पॉप-अप इवेंट आयोजित करने के लिए किन ब्रांडों से संपर्क किया जाना चाहिए। खुदरा WiFi परिनियोजन के बारे में अधिक जानकारी के लिए, खुदरा उद्योग देखें。


समस्या निवारण और सामान्य गलतियाँ

WeChat OAuth कैप्टिव पोर्टल परिनियोजन में पांच सबसे आम विफलता मोड इस प्रकार हैं:

重定向 URI 不匹配(错误码 40029)。 微信会根据已注册的域名验证重定向 URI。任何子域名、路径或协议的不匹配都会导致 code 交换失败。请注册所有变体,包括暂存(staging)环境。

AppSecret एक्सपोज़र। क्लाइंट-साइड कोड में AppSecret को एम्बेड करना सबसे गंभीर सुरक्षा गलती है। सभी टोकन एक्सचेंज लॉजिक को सर्वर-साइड पर स्थानांतरित करें。

CSRF सुरक्षा का अभाव। state पैरामीटर सत्यापन को अनदेखा करने से पोर्टल क्रॉस-साइट अनुरोध जालसाजी हमलों के प्रति संवेदनशील हो जाता है। प्रत्येक सत्र के लिए एक क्रिप्टोग्राफ़िक रूप से रैंडम मान उत्पन्न करें और कॉलबैक पर इसे सत्यापित करें。

应用内浏览器检测失败。 未能在用户代理中检测到 MicroMessenger 意味着应用内浏览器用户将被提供错误的 OAuth 流程,从而导致报错。

MAC पता रैंडमाइजेशन MAB सत्रों को बाधित करता है। आधुनिक मोबाइल ऑपरेटिंग सिस्टम MAC पतों को रैंडमाइज़ करते हैं। MAB-आधारित प्रवर्तन का उपयोग करने वाले विज़िटर्स पुन: कनेक्ट होने पर अपना सत्र खो देंगे। विश्वसनीय सत्र प्रबंधन के लिए RADIUS CoA पर अपग्रेड करें। सुरक्षित WiFi कॉन्फ़िगरेशन पर मार्गदर्शन के लिए, सुरक्षित WiFi क्या है: 2026 एंटरप्राइज़ आवश्यक गाइड देखें。


निवेश पर रिटर्न (ROI) और व्यावसायिक प्रभाव

Guest WiFi में WeChat लॉगिन तैनात करने के तीन मापने योग्य प्रभाव हैं。

बेहतर प्रमाणीकरण दरें। SMS सत्यापन विफलता बिंदुओं और ईमेल इनपुट आवश्यकताओं को समाप्त करने से सफलतापूर्वक कनेक्ट होने वाले चीनी विज़िटर्स का अनुपात बढ़ जाता है। WeChat के बिना कैप्टिव पोर्टल के लिए, 60% ड्रॉप-ऑफ दर एक वास्तविक बेसलाइन है。

फर्स्ट-पार्टी डेटा गुणवत्ता। WeChat-सत्यापित प्रोफ़ाइल में एक सत्यापित OpenID शामिल होता है, और snsapi_userinfo के माध्यम से, सीधे उस सोशल प्लेटफ़ॉर्म से जनसांख्यिकीय विशेषताएँ प्राप्त होती हैं। इस डेटा को थर्ड-पार्टी कुकीज़ पर भरोसा किए बिना लक्षित विपणन को चलाने के लिए विश्लेषणात्मक प्लेटफ़ॉर्म में फीड किया जा सकता है。

कम सहायता ओवरहेड। निर्बाध लॉगिन फ्रंट डेस्क और IT सहायता कर्मचारियों के लिए अंतर्राष्ट्रीय विज़िटर्स के कनेक्शन समस्याओं को हल करने के कॉल वॉल्यूम को कम करता है。

Purple 80,000 से अधिक स्थानों पर काम करता है और इसने 2024 में 440 मिलियन लॉगिन संसाधित किए (Purple आंतरिक डेटा)। प्लेटफ़ॉर्म ISO 27001 प्रमाणित है, GDPR और CCPA के अनुरूप है, और 99.999% अपटाइम बनाए रखता है। खुदरा और आतिथ्य स्थानों के लिए, WeChat प्रमाणीकरण नेटवर्क को लागत केंद्र से एक विश्वसनीय फर्स्ट-पार्टी डेटा कैप्चर चैनल में बदल देता है。

मुख्य परिभाषाएं

कैप्टिव पोर्टल

एक वेब पेज जो एक अप्रमाणित डिवाइस से HTTP ट्रैफ़िक को रोकता है और नेटवर्क एक्सेस दिए जाने से पहले उपयोगकर्ता को इसके साथ इंटरैक्ट करने की आवश्यकता होती है।

प्राथमिक इंटरफ़ेस जहाँ विज़िटर को WeChat लॉगिन विकल्प प्रस्तुत किया जाता है। पोर्टल सर्वर इस पेज को होस्ट करता है और OAuth फ़्लो को संचालित करता है।

OAuth 2.0

एक उद्योग-मानक प्राधिकरण प्रोटोकॉल (RFC 6749) जो किसी थर्ड-पार्टी एप्लिकेशन को उपयोगकर्ता की ओर से HTTP सेवा तक सीमित पहुँच प्राप्त करने की अनुमति देता है।

अंतर्निहित प्रोटोकॉल जिसका उपयोग WeChat उपयोगकर्ता क्रेडेंशियल को उजागर किए बिना पोर्टल सर्वर पर प्रमाणीकरण टोकन पास करने के लिए करता है। वही प्रोटोकॉल जो Microsoft Entra ID, Okta और Google Workspace द्वारा उपयोग किया जाता है।

OpenID

एक विशिष्ट Official Account के लिए एक विशिष्ट WeChat उपयोगकर्ता को सौंपा गया एक अद्वितीय अल्फ़ान्यूमेरिक पहचानकर्ता।

WiFi एनालिटिक्स डेटाबेस में लौटने वाले मेहमानों की पहचान करने के लिए प्राथमिक कुंजी के रूप में उपयोग किया जाता है। प्रति Official Account बदलता है - क्रॉस-प्रॉपर्टी पहचान के लिए UnionID का उपयोग करें।

UnionID

एक एकल WeChat पहचानकर्ता जो एक ही Open Platform खाते से जुड़े सभी Official Accounts और ऐप्स में उपयोगकर्ता का प्रतिनिधित्व करता है।

होटल समूहों, खुदरा श्रृंखलाओं और कई स्थानों वाले स्टेडियम ऑपरेटरों के लिए आवश्यक है जिन्हें अपनी पूरी संपत्ति में एक ही मेहमान को पहचानने की आवश्यकता होती है।

RADIUS CoA (Change of Authorization)

RADIUS प्रोटोकॉल (RFC 3576) का एक विस्तार जो एक RADIUS सर्वर को सक्रिय सत्र के प्राधिकरण विशेषताओं को गतिशील रूप से बदलने की अनुमति देता है।

सफल WeChat लॉगिन के बाद एक गेस्ट डिवाइस को एक पृथक प्री-ऑथराइजेशन VLAN से सक्रिय इंटरनेट VLAN में स्थानांतरित करने के लिए उपयोग की जाने वाली सुरक्षित विधि। Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks और Fortinet द्वारा समर्थित।

snsapi_base

एक WeChat OAuth स्कोप जो केवल उपयोगकर्ता का OpenID लौटाता है और उपयोगकर्ता से किसी सहमति प्रॉम्प्ट की आवश्यकता नहीं होती है।

लौटने वाले मेहमानों के पुन:-प्रमाणीकरण के लिए अनुशंसित स्कोप। GDPR और PIPL डेटा न्यूनीकरण सिद्धांतों के तहत सही ठहराना आसान है।

snsapi_userinfo

एक WeChat OAuth स्कोप जो उपयोगकर्ता का OpenID, उपनाम, प्रोफ़ाइल चित्र, लिंग और शहर लौटाता है, और इसके लिए एक स्पष्ट सहमति स्क्रीन की आवश्यकता होती है।

पहली बार मेहमानों के पंजीकरण के लिए उपयोग किया जाता है जहाँ विश्लेषण के लिए जनसांख्यिकीय डेटा की आवश्यकता होती है। GDPR और PIPL के तहत प्रलेखित कानूनी आधार की आवश्यकता होती है।

PIPL (Personal Information Protection Law)

चीन का व्यापक डेटा गोपनीयता कानून, जो नवंबर 2021 से प्रभावी है, चीन में स्थित प्राकृतिक व्यक्तियों की व्यक्तिगत जानकारी के प्रसंस्करण को नियंत्रित करता है।

तब लागू होता है जब स्थान WeChat OAuth के माध्यम से चीनी नागरिकों के डेटा को संसाधित करते हैं। स्पष्ट सहमति, उद्देश्य सीमा, डेटा न्यूनीकरण और विलोपन तंत्र की आवश्यकता होती है।

AppSecret

एप्लिकेशन पंजीकरण के दौरान WeChat द्वारा जारी की गई एक गोपनीय क्रिप्टोग्राफ़िक कुंजी, जिसका उपयोग पोर्टल सर्वर से API कॉल को प्रमाणित करने के लिए किया जाता है।

विशेष रूप से सर्वर साइड पर संग्रहीत किया जाना चाहिए। क्लाइंट-साइड JavaScript में उजागर होने से हमलावर एप्लिकेशन का रूप धारण कर सकते हैं और दुर्भावनापूर्ण रूप से WeChat API को कॉल कर सकते हैं।

हल किए गए उदाहरण

लंदन के एक 400 कमरों वाले लक्जरी होटल में मुख्य भूमि चीन के मेहमानों के बीच 60% पोर्टल ड्रॉप-ऑफ दर है। वर्तमान पोर्टल के लिए ईमेल और SMS सत्यापन की आवश्यकता होती है। IT निदेशक को GDPR अनुपालन और नेटवर्क सुरक्षा बनाए रखते हुए WeChat प्रमाणीकरण लागू करने की आवश्यकता है।

चरण 1: WeChat Official Accounts प्लेटफ़ॉर्म (mp.weixin.qq.com) पर एक सर्विस अकाउंट और WeChat Open Platform (open.weixin.qq.com) पर एक वेबसाइट एप्लिकेशन पंजीकृत करें। चरण 2: MicroMessenger उपयोगकर्ता एजेंट स्ट्रिंग का पता लगाने के लिए पोर्टल को कॉन्फ़िगर करें। यदि पता चलता है, तो मूक प्रमाणीकरण के लिए snsapi_base OAuth फ़्लो को ट्रिगर करें। यदि पता नहीं चलता है, तो QR कोड फ़्लो प्रस्तुत करें। चरण 3: WeChat लॉगिन बटन सक्रिय होने से पहले पोर्टल पेज पर एक GDPR-अनुरूप गोपनीयता नोटिस और सहमति चेकबॉक्स जोड़ें। नोटिस में स्पष्ट होना चाहिए: एकत्र किया गया डेटा (केवल OpenID), उद्देश्य (guest WiFi एक्सेस और वापसी यात्रा पहचान), और प्रतिधारण अवधि। चरण 4: सफल OAuth टोकन एक्सचेंज के बाद, पोर्टल सर्वर Cisco Meraki कंट्रोलर को एक RADIUS CoA अनुरोध जारी करता है, जिससे गेस्ट डिवाइस प्री-ऑथ VLAN से अलग किए गए गेस्ट VLAN में स्थानांतरित हो जाता है। चरण 5: गेस्ट डेटाबेस में डिवाइस MAC पते के विरुद्ध OpenID संग्रहीत करें। बाद की यात्राओं पर, लौटने वाला OpenID मूक पुन:-प्रमाणीकरण को ट्रिगर करता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण तकनीकी और अनुपालन दोनों आवश्यकताओं को सही ढंग से संबोधित करता है। `snsapi_base` का उपयोग करना GDPR डेटा न्यूनीकरण सिद्धांतों के अनुरूप है, जिससे SMS सत्यापन विफलता बिंदु को समाप्त करते हुए कानूनी जोखिम कम हो जाता है। RADIUS CoA सुरक्षित, स्वचालित नेटवर्क अलगाव सुनिश्चित करता है। सहमति चेकबॉक्स एक प्रलेखित कानूनी आधार के लिए GDPR आवश्यकता को पूरा करता है। मुख्य निर्णय `snsapi_userinfo` पर `snsapi_base` का चयन करना है - होटल को इस उपयोग के मामले के लिए जनसांख्यिकीय डेटा की आवश्यकता नहीं है, इसलिए इसे एकत्र करने से अनावश्यक अनुपालन दायित्व उत्पन्न होंगे।

एक खुदरा मॉल अपने विश्लेषणात्मक प्लेटफ़ॉर्म में फीड करने के लिए guest WiFi के माध्यम से चीनी खरीदारों से लिंग और शहर का डेटा कैप्चर करना चाहता है। वे वर्तमान में HPE Aruba हार्डवेयर पर चलने वाले अपने मौजूदा पोर्टल के लिए MAC Authentication Bypass का उपयोग करते हैं।

चरण 1: WeChat Official Accounts प्लेटफ़ॉर्म पर एक सर्विस अकाउंट पंजीकृत करें। चरण 2: लिंग और शहर प्राप्त करने के लिए snsapi_userinfo स्कोप का उपयोग करने के लिए पोर्टल को कॉन्फ़िगर करें। चरण 3: मूल्य विनिमय को समझाने वाली एक स्पष्ट सहमति स्क्रीन जोड़ें: प्रोफ़ाइल डेटा एक्सेस के बदले मुफ्त WiFi। सहमति GDPR और PIPL दोनों के तहत स्पष्ट और विस्तृत होनी चाहिए। चरण 4: प्रमाणीकरण के बाद, पोर्टल सर्वर RADIUS डेटाबेस में डिवाइस के MAC पते को पंजीकृत करता है। HPE Aruba कंट्रोलर MAB के माध्यम से एक्सेस की अनुमति देता है। चरण 5: डेटा प्रोसेसिंग रजिस्टर में कानूनी आधार (सहमति), उद्देश्य (स्थान विश्लेषण और विपणन), और प्रतिधारण अवधि (24 महीने) का दस्तावेजीकरण करें। डेटा विलोपन तंत्र प्रदान करें।

परीक्षक की टिप्पणी: `snsapi_userinfo` स्कोप आवश्यक जनसांख्यिकीय डेटा को सही ढंग से प्राप्त करता है। हालांकि, MAB पर भरोसा करना एक महत्वपूर्ण परिचालन जोखिम पैदा करता है: iOS 14+ और Android 10+ डिफ़ॉल्ट रूप से MAC पतों को रैंडमाइज़ करते हैं, जिसका अर्थ है कि मेहमान पुन: कनेक्ट होने पर अपना प्रमाणित सत्र खो देंगे और उन्हें फिर से प्रमाणित करने के लिए मजबूर होना पड़ेगा। मॉल को इसे हल करने के लिए HPE Aruba पर RADIUS CoA पर माइग्रेट करने की योजना बनानी चाहिए। PIPL अनुपालन दस्तावेज़ीकरण वैकल्पिक नहीं है - यह चीनी नागरिकों के डेटा को संसाधित करने के लिए एक कानूनी आवश्यकता है, चाहे स्थान कहीं भी स्थित हो।

अभ्यास प्रश्न

Q1. आप एक स्टेडियम में कैप्टिव पोर्टल तैनात कर रहे हैं। आप चाहते हैं कि लौटने वाले सीज़न टिकट धारक जिन्होंने पहले प्रमाणित किया है, वे बाद की यात्राओं पर लॉगिन स्क्रीन देखे बिना स्वचालित रूप से कनेक्ट हों। पुन:-प्रमाणीकरण फ़्लो के लिए आपको कौन सा WeChat OAuth स्कोप लागू करना चाहिए, और क्यों?

संकेत: विचार करें कि कौन सा स्कोप प्रत्येक यात्रा पर उपयोगकर्ता से सहमति मांगे बिना मूक प्रमाणीकरण की अनुमति देता है।

मॉडल उत्तर देखें

snsapi_base का उपयोग करें। यह स्कोप केवल उपयोगकर्ता का OpenID लौटाता है और इसके लिए किसी सहमति प्रॉम्प्ट की आवश्यकता नहीं होती है, जिससे मूक पुन:-प्रमाणीकरण सक्षम होता है। पहली यात्रा पर, आप प्रशंसक की प्रोफ़ाइल के विरुद्ध OpenID संग्रहीत करते हैं। बाद की यात्राओं पर, पोर्टल snsapi_base के माध्यम से लौटने वाले OpenID का पता लगाता है, मिलान की पुष्टि करता है, और एक्सेस देने के लिए एक RADIUS CoA जारी करता है - यह सब प्रशंसक को लॉगिन स्क्रीन दिखाए बिना होता है। यह GDPR डेटा न्यूनीकरण सिद्धांतों के भी अनुरूप है, क्योंकि आप प्रमाणीकरण कार्य के लिए आवश्यक डेटा से अधिक अतिरिक्त डेटा एकत्र नहीं कर रहे हैं।

Q2. परीक्षण के दौरान, आपका पोर्टल सफलतापूर्वक WeChat पर रीडायरेक्ट करता है, उपयोगकर्ता सहमति देता है, और WeChat आपके पोर्टल पर वापस रीडायरेक्ट करता है। हालांकि, पोर्टल सर्वर लॉग OAuth त्रुटि 40029 (अमान्य कोड) दिखाते हैं। सबसे संभावित कॉन्फ़िगरेशन त्रुटि क्या है, और आप इसे कैसे हल करते हैं?

संकेत: WeChat कड़ाई से उस गंतव्य को सत्यापित करता है जहां वह ऑथराइजेशन कोड भेजता है, एक पंजीकृत सूची के विरुद्ध।

मॉडल उत्तर देखें

सबसे संभावित कारण रीडायरेक्ट URI बेमेल है। WeChat प्लेटफ़ॉर्म पर पंजीकृत अधिकृत डोमेन के विरुद्ध OAuth अनुरोध में रीडायरेक्ट URI को सत्यापित करता है। यदि पोर्टल सर्वर एक अलग सबडोमेन, एक अलग पथ, या HTTPS के बजाय HTTP का उपयोग करता है, तो कोड एक्सचेंज त्रुटि 40029 के साथ विफल हो जाता है। समाधान: WeChat डेवलपर प्लेटफ़ॉर्म पर लॉग इन करें, अपने सर्विस अकाउंट या वेबसाइट एप्लिकेशन सेटिंग्स पर जाएं, और आपके द्वारा उपयोग किए जाने वाले प्रत्येक रीडायरेक्ट URI वेरिएंट को जोड़ें - जिसमें स्टेजिंग सबडोमेन, विभिन्न पथ और HTTPS संस्करण शामिल हैं। सुनिश्चित करें कि आपके OAuth अनुरोध में redirect_uri पैरामीटर URL एन्कोडिंग सहित पंजीकृत URI में से किसी एक से बिल्कुल मेल खाता है।

Q3. एक IT प्रबंधक टोकन एक्सचेंज प्रक्रिया को सीधे क्लाइंट ब्राउज़र से तेज करने के लिए कैप्टिव पोर्टल के फ्रंट-एंड JavaScript में WeChat AppSecret को एम्बेड करने का प्रस्ताव करता है। आपको इस प्रस्ताव को क्यों अस्वीकार करना चाहिए, और सही आर्किटेक्चर क्या है?

संकेत: सार्वजनिक रूप से सुलभ कोड में क्रिप्टोग्राफ़िक कुंजियों को उजागर करने के सुरक्षा निहितार्थों पर विचार करें।

मॉडल उत्तर देखें

इस प्रस्ताव को अस्वीकार करें। AppSecret एक गोपनीय क्रिप्टोग्राफ़िक कुंजी है। इसे क्लाइंट-साइड JavaScript में एम्बेड करने से यह किसी भी व्यक्ति के सामने उजागर हो जाता है जो पेज सोर्स देखता है या नेटवर्क ट्रैफ़िक को रोकता है। एक हमलावर AppSecret निकाल सकता है और एप्लिकेशन का रूप धारण कर सकता, स्थान की ओर से WeChat API को कॉल कर सकता है, उपयोगकर्ता डेटा तक पहुँच सकता है, और संभावित रूप से पूरे Official Account से समझौता कर सकता है। सही आर्किटेक्चर: क्लाइंट-साइड पोर्टल पेज WeChat से ऑथराइजेशन कोड प्राप्त करता है और इसे सर्वर-साइड API कॉल के माध्यम से पोर्टल सर्वर पर भेजता है। पोर्टल सर्वर एक सुरक्षित वातावरण चर (environment variable) में AppSecret रखता है और WeChat के API के साथ टोकन एक्सचेंज करता है। AppSecret कभी भी सर्वर से बाहर नहीं जाता है।

Q4. यूरोप भर में 15 संपत्तियों वाला एक होटल समूह एक एकीकृत अतिथि प्रोफ़ाइल बनाना चाहता है जो यह पहचान सके कि कब वही चीनी मेहमान विभिन्न संपत्तियों में ठहरता है। प्रत्येक संपत्ति का अपना WeChat Official Account है। उन्हें किस WeChat पहचानकर्ता का उपयोग करना चाहिए, और किस कॉन्फ़िगरेशन की आवश्यकता है?

संकेत: OpenID खाता-विशिष्ट है। क्रॉस-खाता पहचान के लिए डिज़ाइन किया गया एक अलग पहचानकर्ता है।

मॉडल उत्तर देखें

UnionID का उपयोग करें। OpenID प्रति Official Account बदलता है, इसलिए एक ही मेहमान के पास 15 खातों में 15 अलग-अलग OpenID होंगे। UnionID एक स्थिर पहचानकर्ता है जो एक ही Open Platform खाते से जुड़े सभी Official Accounts और ऐप्स में उपयोगकर्ता का प्रतिनिधित्व करता है। आवश्यक कॉन्फ़िगरेशन: सभी 15 Official Accounts को एक ही WeChat Open Platform खाते से लिंक करें। एक बार लिंक होने के बाद, उपयोगकर्ता द्वारा लिंक किए गए खातों में से कम से कम एक को अधिकृत करने पर OAuth प्रतिक्रिया में UnionID वापस आ जाता है। क्रॉस-प्रॉपर्टी प्रोफ़ाइल बनाने और लौटने वाले मेहमानों को पहचानने के लिए अतिथि CRM में प्राथमिक कुंजी के रूप में UnionID का उपयोग करें, चाहे वे किसी भी संपत्ति पर जाएं।

इस श्रृंखला में आगे पढ़ें

Ruijie के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें

कैसे Purple का क्लाउड गेस्ट WiFi वेब ऑथेंटिकेशन और RADIUS का उपयोग करके Ruijie RG Series एक्सेस पॉइंट्स के ऊपर काम करता है, जिसे कमांड लाइन से कॉन्फ़िगर किया गया है, और सटीक सेटअप चरण कहाँ खोजें।

गाइड पढ़ें →

B2B Captive Portals डिजाइन करना: पंजीकृत नाम और कंपनी डेटा एकत्र करना

यह गाइड IT प्रबंधकों और स्थल ऑपरेटरों को B2B captive portals डिजाइन करने के लिए एक विक्रेता-तटस्थ तकनीकी ढांचा प्रदान करती है। यह पंजीकृत नाम और कंपनी डेटा को कैप्चर करने के लिए पंजीकरण फ़ील्ड को संरचित करने का विवरण देती है, जिससे GDPR अनुपालन बनाए रखते हुए और खाता-स्तरीय बुद्धिमत्ता का निर्माण करते हुए उच्च पूर्णता दर सुनिश्चित होती है।

गाइड पढ़ें →

कैप्टिव पोर्टल आर्किटेक्चर: सुरक्षा, रीडायरेक्शन और सर्वोत्तम प्रथाएं

एंटरप्राइज कैप्टिव पोर्टल आर्किटेक्चर पर एक निश्चित तकनीकी संदर्भ। यह गाइड सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करने वाले IT लीडर्स के लिए नेटवर्क आइसोलेशन, DNS रीडायरेक्शन, RADIUS ऑथेंटिकेशन और सुरक्षा अनुपालन का विश्लेषण करती है।

गाइड पढ़ें →