Integrazione dell'autenticazione WiFi WeChat: onboarding tramite Captive Portal per i clienti APAC

Sintesi esecutiva

Per le sedi aziendali che operano nella regione APAC o che servono turisti cinesi a livello globale, l'autenticazione WiFi WeChat non è più opzionale. Con 1,41 miliardi di utenti attivi mensili al 2025 (fonte: Tencent), WeChat è l'identità digitale principale per i consumatori cinesi. Un ospite che si connette al tuo SSID e vede solo le opzioni di accesso tramite e-mail o Facebook si scontra con un ostacolo immediato. Quasi sicuramente ha WeChat. Quasi sicuramente non ha un indirizzo e-mail locale configurato su quel dispositivo.

Questa guida spiega in dettaglio come integrare WeChat OAuth 2.0 in un Captive Portal. Copriamo le due distinte registrazioni della piattaforma richieste da Tencent, la decisione sullo scope che determina quali dati di prima parte raccogliere e il meccanismo RADIUS Change of Authorisation (CoA) che traduce uno scambio OAuth andato a buon fine in un accesso effettivo alla rete. Affrontiamo anche i requisiti di conformità sovrapposti del GDPR e della legge cinese sulla protezione delle informazioni personali (PIPL).

La piattaforma Guest WiFi di Purple automatizza il livello di applicazione della rete su hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Purple opera in oltre 80.000 sedi attive e ha registrato 440 milioni di accessi nel 2024 (dati interni Purple).

Approfondimento tecnico

Il flusso OAuth 2.0

Un Captive Portal (un gateway di autenticazione basato sul web che intercetta il traffico HTTP dai dispositivi non autenticati) reindirizza gli ospiti a una pagina di accesso ospitata su un server del portale, on-premise o nel cloud. L'aggiunta di WeChat OAuth inserisce l'infrastruttura di identità di Tencent in questo flusso.

La sequenza si svolge come segue. L'ospite si associa all'SSID. Il controller wireless rileva l'assenza di una sessione autenticata e reindirizza tutto il traffico HTTP all'URL del Captive Portal. La pagina del portale si carica e presenta le opzioni di accesso, tra cui WeChat. L'ospite seleziona WeChat. Il server del portale crea un reindirizzamento all'endpoint di autorizzazione di WeChat all'indirizzo open.weixin.qq.com, passando quattro parametri: l'AppID, l'URI di reindirizzamento, il tipo di risposta impostato su code e lo scope richiesto.

WeChat autentica l'utente interamente sulla propria infrastruttura. Se l'ospite ha già effettuato l'accesso tramite il browser in-app di WeChat, lo scope snsapi_base consente l'autenticazione invisibile senza alcuna richiesta visibile. WeChat reindirizza all'URI di reindirizzamento registrato del portale con un codice di autorizzazione a breve scadenza. Il server del portale scambia questo codice con un token di accesso chiamando api.weixin.qq.com/sns/oauth2/access_token con AppID, AppSecret, codice e tipo di concessione. WeChat restituisce un token di accesso, un token di aggiornamento, l'OpenID dell'utente e lo scope concesso. Se è stato richiesto snsapi_userinfo, una seconda chiamata API a api.weixin.qq.com/sns/userinfo recupera il nickname dell'utente, l'immagine del profilo, il genere e la città.

Registrazione della piattaforma: la decisione che ostacola la maggior parte delle implementazioni

Tencent gestisce due piattaforme di sviluppo separate e la selezione di quella errata è la causa più comune di fallimento delle implementazioni.

Un account di abbonamento sulla Official Accounts Platform non funzionerà. Manca delle autorizzazioni di autorizzazione della pagina web OAuth. Solo un account di servizio dispone di tali autorizzazioni.

La maggior parte delle implementazioni aziendali nei settori Hospitality and Retail implementa entrambe le registrazioni. Un ospite in un hotel potrebbe aprire il portale in Chrome, scansionare un codice QR con WeChat e autenticarsi tramite il flusso della Open Platform. Oppure potrebbe seguire un link all'interno di WeChat stesso, atterrare nel browser in-app e autenticarsi in modo invisibile tramite il flusso degli Official Accounts. Entrambi i percorsi devono essere gestiti.

Selezione dello scope e raccolta dei dati

Lo scope OAuth è una vera e propria decisione architetturale, non un dettaglio di configurazione. Determina l'attrito riscontrato dall'utente e i dati ricevuti dalla tua piattaforma di WiFi Analytics .

snsapi_base restituisce solo l'OpenID, un identificatore univoco e stabile per quell'utente all'interno del tuo account ufficiale. Non richiede alcuna richiesta di consenso da parte dell'utente. L'autenticazione è invisibile. Utilizzalo per gli ospiti di ritorno di cui possiedi già i profili o per ambienti ad alta densità come stadi e hub di trasporto in cui la velocità di connessione è la priorità.

snsapi_userinfo restituisce l'OpenID più il nickname, l'immagine del profilo, il genere, l'impostazione della lingua e la città. Attiva una schermata di consenso esplicito. Utilizzalo per la registrazione degli ospiti al primo accesso per creare un profilo di dati di prima parte, abbinato a un livello di consenso conforme a PIPL e GDPR sulla pagina del portale.

La regola pratica: usa snsapi_base per la velocità, snsapi_userinfo per i dati. Puoi implementare entrambi verificando se l'OpenID dell'utente esiste già nel tuo database. In caso affermativo, richiedi snsapi_base. In caso contrario, richiedi snsapi_userinfo.

Applicazione della rete: RADIUS CoA e MAC bypass

Un token OAuth dimostra l'identity. Non apre la rete. Un meccanismo separato deve tradurre l'avvenuta autenticazione in una modifica della policy di rete.

RADIUS Change of Authorisation (CoA), definito in RFC 3576, è l'approccio standard. Dopo che il server del portale riceve un token OAuth valido, invia una richiesta CoA al controller wireless. Il controller aggiorna la sessione, spostando il dispositivo dalla VLAN walled garden (un segmento di rete limitato che consente solo il traffico del portale) alla VLAN guest completa. Questo funziona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Il MAC address bypass registra l'indirizzo MAC del dispositivo come client autorizzato dopo un OAuth andato a buon fine. Il controller consente quindi il traffico da quell'indirizzo senza ulteriori verifiche. È più semplice da implementare ma comporta due rischi: gli indirizzi MAC possono essere contraffatti (spoofed), e da iOS 14 e Android 10 in poi viene utilizzata la randomizzazione dell'indirizzo MAC per impostazione predefinita, il che interrompe il meccanismo alla riconnessione.

Per qualsiasi implementazione in cui la sicurezza è fondamentale, RADIUS CoA è la scelta corretta. Per saperne di più sulla sicurezza delle reti guest, consulta Cos'è il WiFi sicuro: Guida essenziale per le aziende 2026 e Sicurezza WiFi aziendale: Una guida completa per il 2026 .

Guida all'implementazione

Checklist pre-installazione

Prima di scrivere una sola riga di configurazione, completa questi cinque passaggi.

In primo luogo, determina il contesto di accesso. Analizza la tua struttura e identifica se gli ospiti visualizzeranno il portale all'interno del browser in-app di WeChat, in un browser mobile standard o in entrambi. La risposta determina i requisiti di registrazione sulla piattaforma.

In secondo luogo, registrati sulla piattaforma corretta. Per l'accesso tramite browser in-app, crea un Service Account sulla WeChat Official Accounts Platform. Per l'accesso tramite browser standard, registra una Website Application sulla WeChat Open Platform. Prendi nota di AppID e AppSecret per ciascuna.

In terzo luogo, configura i tuoi URI di reindirizzamento. Registra ogni dominio e sottodominio utilizzato dal tuo portale, inclusi gli ambienti di staging. WeChat impone la convalida a corrispondenza esatta. Una mancata corrispondenza restituisce l'errore 40029.

In quarto luogo, implementa lo scambio di token lato server. L'AppSecret non deve mai apparire nel codice lato client. Crea un endpoint lato server che accetti il codice di autorizzazione, lo scambi con un token e restituisca solo i dati necessari al tuo portale.

In quinto luogo, implementa il parametro state per la protezione CSRF. Genera un valore crittograficamente casuale, salvalo nella sessione dell'utente, passalo nella richiesta OAuth e convalidalo al ritorno.

Passaggi di configurazione per Ruckus SmartZone

Per le strutture che utilizzano Ruckus SmartZone, la configurazione del portale WeChat si trova sotto Services and Profiles, poi Hotspots and Portals, e infine nella scheda WeChat. Configura l'Authentication URL (l'endpoint di callback WeChat del server del tuo portale), la DNAT Destination (il server che gestisce i reindirizzamenti dei client non autenticati) e il Grace Period (la finestra temporale durante la quale un utente disconnesso di recente può riconnettersi senza doversi riautenticare, impostata di default a 60 minuti). Configura inoltre la whitelist del walled garden per consentire il traffico verso gli endpoint API di WeChat durante la fase di autenticazione. Vedi anche la Guida passo-passo: Configurazione dei controller wireless Ruijie per i Captive Portal WiFi guest per modelli di configurazione del controller comparabili.

Rilevamento del browser in-app

Il browser in-app di WeChat imposta una stringa user agent contenente MicroMessenger. Il tuo portale deve rilevare questa stringa e fornire il flusso OAuth appropriato. Se MicroMessenger è presente, utilizza il flusso Official Accounts. Se assente, utilizza il flusso con codice QR di Open Platform. La mancata rilevazione corretta produce un'esperienza utente interrotta o errori di autenticazione.

Best practice

Minimizzazione dei dati e conformità al doppio framework

Il GDPR (applicabile ai visitatori europei) e la PIPL (applicabile ai cittadini cinesi) richiedono entrambi una base giuridica per il trattamento dei dati personali, una chiara limitazione delle finalità e la minimizzazione dei dati. Lo scope snsapi_base è più facile da giustificare in base ai principi di minimizzazione dei dati rispetto a snsapi_userinfo. Quando raccogli dati demografici tramite snsapi_userinfo, documenta la tua base giuridica, il periodo di conservazione e l'accordo sul trattamento dei dati con Tencent.

La PIPL, in vigore da novembre 2021, richiede il consenso esplicito per le informazioni personali sensibili e impone ai responsabili del trattamento dei dati al di fuori della Cina di implementare standard di protezione equivalenti. Se il server del tuo portale si trova al di fuori della Cina continentale, devi valutare se le regole sul trasferimento transfrontaliero dei dati si applicano all'OpenID di WeChat e ai dati del profilo che ricevi.

UnionID per implementazioni multi-struttura

L'OpenID è unico per utente per ciascun Official Account. Se gestisci più Official Account in diverse strutture, lo stesso ospite avrà OpenID diversi in ognuna di esse. WeChat fornisce un UnionID che rimane coerente in tutti gli account collegati alla stessa registrazione sulla Open Platform. Per catene alberghiere, gruppi retail o operatori aeroportuali che gestiscono più sedi, implementa la risoluzione dell'identità basata su UnionID fin dall'inizio.

Rafforzamento della sicurezza

Memorizza l'AppSecret in una variabile d'ambiente o in un gestore di segreti (secrets manager), mai nel codice sorgente. Ruotalo immediatamente se sospetti un'esposizione. Implementa il rate limiting sul tuo endpoint di scambio token per prevenire abusi. Registra tutti gli errori OAuth, in particolare il 40029 (codice non valido) e il 40163 (codice scaduto), poiché indicano una configurazione errata o un tentativo di probing attivo.

Per una visione più ampia dell'architettura di sicurezza delle reti guest, consulta Perché i dispositivi WiFi consumer non dovrebbero essere usati nella tua rete guest .

Casi di studio

Catena di hotel di lusso, Singapore

Un hotel di lusso da 350 camere a Singapore, che si rivolge prevalentemente a un segmento di viaggiatori d'affari cinesi, ha implementato l'autenticazione WeChat WiFi insieme all'opzione di accesso tramite e-mail esistente. Prima dell'implementazione, il personale della reception segnalava una media df 15 reclami al giorno da parte degli ospiti per difficoltà di accesso al WiFi. Gli ospiti cinesi tentavano di utilizzare indirizzi e-mail che non avevano configurato sui loro dispositivi di viaggio.

L'hotel ha registrato un Service Account sulla WeChat Official Accounts Platform e una Website Application sulla Open Platform. Ha configurato snsapi_userinfo per le prime connessioni e snsapi_base per gli ospiti di ritorno identificati tramite indirizzo MAC. Il controller HPE Aruba è stato configurato per RADIUS CoA per gestire la promozione della sessione.

Entro 30 giorni, i reclami per l'accesso al WiFi degli ospiti sono scesi a meno di due al giorno. Il database di WiFi Analytics dell'hotel è cresciuto di 4.200 profili di prima parte verificati nel primo mese, con dati demografici a livello di città che hanno consentito comunicazioni post-soggiorno mirate.

Centro commerciale internazionale, Kuala Lumpur

Un centro commerciale di lusso a Kuala Lumpur, con 12 milioni di utenti WeChat solo in Malesia, aveva bisogno di un'esperienza di onboarding WiFi all'altezza delle aspettative digitali della sua clientela. Il centro commerciale gestiva access point Cisco Meraki su una superficie di vendita di 180.000 metri quadrati.

L'implementazione ha utilizzato la piattaforma Guest WiFi di Purple come overlay cloud, con WeChat OAuth come metodo di autenticazione primario e SMS OTP come fallback. L'architettura indipendente dall'hardware di Purple ha gestito l'integrazione RADIUS CoA con Cisco Meraki senza richiedere sviluppi personalizzati.

Il centro commerciale ha registrato un aumento del 34% nell'avvio di sessioni WiFi nel primo trimestre successivo all'implementazione, attribuito alla riduzione degli ostacoli all'onboarding per gli utenti WeChat. I dati di prima parte raccolti tramite i flussi di consenso snsapi_userinfo hanno consentito al team di marketing del centro commerciale di segmentare gli acquirenti in base alla città di provenienza per l'invio di campagne mirate.

Risoluzione dei problemi e mitigazione dei rischi

ROI e impatto aziendale

Il business case per l'autenticazione WiFi WeChat si basa su tre risultati misurabili.

Acquisizione di dati di prima parte. Ogni autenticazione snsapi_userinfo genera un profilo ospite verificato con dati demografici. Per un hotel di 200 camere con un'occupazione del 70% e il 40% di ospiti cinesi, ciò rappresenta circa 20.000 nuovi profili verificati all'anno, ciascuno legato a un'identità WeChat che supporta il re-engagement continuo.

Riduzione del carico di supporto. Gli ostacoli all'accesso sono la causa principale delle chiamate di supporto per il WiFi degli ospiti. Le strutture che aggiungono l'autenticazione WeChat alle opzioni esistenti registrano costantemente una riduzione delle richieste alla reception relative al WiFi, liberando tempo del personale per interazioni di maggior valore.

Portata del marketing. I WeChat Official Accounts consentono alle strutture di inviare notifiche push ai follower. Un ospite che si autentica tramite il vostro Official Account può essere invitato a seguirlo, creando un canale di comunicazione diretto che opera all'interno dell'ecosistema di WeChat, dove i consumatori cinesi trascorrono in media 82 minuti al giorno (fonte: Walk the Chat).

Il piano Engage di Purple estende ulteriormente questo aspetto, consentendo messaggi post-visita automatizzati, trigger di fidelizzazione e campagne segmentate create sulla base dei dati di prima parte raccolti al momento dell'autenticazione WiFi.