Captive Portals साठी WeChat OAuth प्रमाणीकरण कसे कॉन्फिगर करावे
हे तांत्रिक मार्गदर्शक Captive Portals साठी WeChat OAuth प्रमाणीकरण कसे कॉन्फिगर करावे हे स्पष्ट करते. यामध्ये चिनी अभ्यागतांकडून प्रथम-पक्ष डेटा सुरक्षितपणे गोळा करण्यासाठी आवश्यक असणारी प्लॅटफॉर्म नोंदणी, OAuth 2.0 फ्लो, स्कोप निवड आणि नेटवर्क अंमलबजावणी यंत्रणांचे तपशील दिले आहेत.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
- कार्यकारी सारांश (Executive Summary)
- तांत्रिक आर्किटेक्चर (Technical Architecture)
- प्लॅटफॉर्म नोंदणी आवश्यकता (Platform Registration Requirements)
- WeChat Official Accounts Platform
- WeChat ओपन प्लॅटफॉर्म
- स्कोप निवड आणि डेटा गोळा करणे
- snsapi_base
- snsapi_userinfo
- नेटवर्क एन्फोर्समेंट इंटिग्रेशन
- RADIUS Change of Authorization (CoA)
- MAC ॲड्रेस बायपास
- अनुपालन (Compliance) आणि सुरक्षेचे मुद्दे
- GDPR आणि PIPL सुसंगतता
- CSRF संरक्षण
- Redirect URI पडताळणी

कार्यकारी सारांश (Executive Summary)
जेव्हा चिनी अभ्यागत तुमच्या WiFi शी कनेक्ट होतात, तेव्हा केवळ ईमेल किंवा Facebook लॉगिन पर्यायांसह स्प्लॅश पृष्ठ दाखवणे त्यांच्यासाठी अडथळा ठरते. १३.८ अब्ज मासिक सक्रिय वापरकर्त्यांसह, WeChat ला ओळख प्रदाता (identity provider) म्हणून कॉन्फिगर केल्यास हा अडथळा दूर होतो. हे मार्गदर्शक Captive Portals साठी WeChat OAuth 2.0 ऑथेंटिकेशन कसे लागू करावे हे दाखवते, ज्यामध्ये आवश्यक प्लॅटफॉर्म नोंदणी, OAuth फ्लो आणि यशस्वी लॉगिनचे नेटवर्क ॲक्सेसमध्ये रूपांतर करण्यासाठी आवश्यक नेटवर्क अंमलबजावणी यंत्रणेचे तपशील दिले आहेत. आम्ही GDPR आणि PIPL अंतर्गत अनुपालन आवश्यकतांसह, एंटरप्राइझ-ग्रेड हार्डवेअरसाठी तांत्रिक अंमलबजावणी समाविष्ट करू.
तांत्रिक आर्किटेक्चर (Technical Architecture)
Captive Portal ऑथेंटिकेशन नसलेल्या उपकरणांमधील HTTP ट्रॅफिक अडवते आणि त्यांना पोर्टल सर्व्हरवर होस्ट केलेल्या स्प्लॅश पृष्ठावर रिडायरेक्ट करते. जेव्हा तुम्ही WeChat OAuth समाकलित करता, तेव्हा तुम्ही या फ्लोमध्ये तृतीय-पक्ष ओळख प्रदाता समाविष्ट करता.

येथे अचूक चरण-दर-चरण परस्परसंवाद दिला आहे:
- अभ्यागत SSID शी कनेक्ट होतो.
- वायरलेस ॲक्सेस पॉईंट (AP) किंवा वायरलेस कंट्रोलर ऑथेंटिकेशन नसलेले सेशन शोधतो आणि HTTP ट्रॅफिकला Captive Portal URL वर रिडायरेक्ट करतो.
- अभ्यागत WeChat लॉगिन निवडतो.
- पोर्टल सर्व्हर ब्राउझरला WeChat च्या ऑथरायझेशन एंडपॉइंटवर (
open.weixin.qq.com) रिडायरेक्ट करतो, ज्यामध्येAppID,redirect_uri,response_type=codeआणिscopeपास केले जातात. - WeChat ऑथेंटिकेशन हाताळते. जर अभ्यागत WeChat इन-ॲप ब्राउझरमध्ये
snsapi_baseस्कोप वापरत असेल, तर हे शांतपणे (पार्श्वभूमीत) घडते. - WeChat तात्पुरत्या ऑथरायझेशन कोडसह पोर्टलच्या
redirect_uriवर परत रिडायरेक्ट करते. - पोर्टल सर्व्हर
api.weixin.qq.com/sns/oauth2/access_tokenला कॉल करून या कोडची ॲक्सेस टोकनशी अदलाबदल करतो. - WeChat द्वारे
access_token,refresh_tokenआणि वापरकर्त्याचाopenidपरत मिळतो.
प्लॅटफॉर्म नोंदणी आवश्यकता (Platform Registration Requirements)
WeChat लॉगिन लागू करण्यासाठी योग्य डेव्हलपर प्लॅटफॉर्मवर नोंदणी करणे आवश्यक आहे. WeChat दोन स्वतंत्र प्लॅटफॉर्म चालवते आणि चुकीचे प्लॅटफॉर्म निवडल्यास एकत्रीकरण अयशस्वी होईल.
WeChat Official Accounts Platform
WeChat इन-अॅप ब्राउझरमध्ये दाखवल्या जाणाऱ्या Captive Portals साठी, तुम्हाला WeChat ऑफिशियल अकाउंट्स प्लॅटफॉर्म (mp.weixin.qq.com) वर नोंदणीकृत Service Account आवश्यक आहे. Subscription Accounts कडे आवश्यक असणारे OAuth वेबपेज ऑथरायझेशनचे अधिकार नसतात. Service Accounts हे snsapi_base आणि snsapi_userinfo या दोन्ही स्कोप्सना सपोर्ट करतात.
WeChat ओपन प्लॅटफॉर्म
WeChat च्या बाहेरील स्टँडर्ड मोबाईल ब्राउझरवरून (उदा. Android वरील Chrome किंवा iOS वरील Safari) ॲक्सेस केल्या जाणाऱ्या Captive Portals साठी, तुम्हाला ओपन प्लॅटफॉर्म (open.weixin.qq.com) वर नोंदणीकृत Website Application आवश्यक आहे. हे snsapi_login स्कोपचा वापर करते आणि युझरला त्यांच्या WeChat अॅपद्वारे स्कॅन करण्यासाठी QR कोड दाखवते.
सर्व ॲक्सेस मार्गांचा समावेश करण्यासाठी बहुतेक एंटरप्राइझ डिप्लॉयमेंटना दोन्ही नोंदणी करणे आवश्यक असते.
स्कोप निवड आणि डेटा गोळा करणे
स्कोप पॅरामीटर हे ठरवतो की WeChat तुमच्या पोर्टल सर्व्हरला कोणता डेटा परत पाठवतो. या निर्णयाचा परिणाम युझरच्या अनुभवावर आणि डेटा प्रायव्हसीच्या नियमांच्या पालनावर होतो.

snsapi_base
हा स्कोप फक्त OpenID परत करतो, जो तुमच्या ऑफिशियल अकाउंटमधील युझरचा युनिक आयडेंटिफायर असतो. यासाठी कोणत्याही युझर ऑथरायझेशन प्रॉम्प्टची गरज नसते, ज्यामुळे ऑथेंटिकेशन अतिशय सोपे आणि सुलभ होते. हे अशा परत येणाऱ्या व्हिजिटर्ससाठी उत्तम आहे ज्यांचे प्रोफाइल तुमच्याकडे आधीपासूनच आहे, किंवा ज्या ठिकाणी नवीन डेटा गोळा करण्यापेक्षा वेगवान प्रवासाला प्राधान्य दिले जाते.
snsapi_userinfo
हा स्कोप युझरच्या WeChat निकनेम, प्रोफाइल पिक्चर, लिंग, लँग्वेज सेटिंग्स आणि शहरासह OpenID परत करतो. यासाठी स्वतंत्र ऑथरायझेशन पेजची आवश्यकता असते, ज्यामुळे युझरच्या प्रवासात एक पायरी वाढते. पहिल्यांदा येणाऱ्या व्हिजिटर्सच्या नोंदणीसाठी याचा वापर करा जेथे प्रोफाइल तयार करणे आवश्यक असते, आणि हे GDPR सुसंगत संमती लेयरसह जोडलेले असावे.
नेटवर्क एन्फोर्समेंट इंटिग्रेशन
OAuth टोकन मिळवल्याने ओळख सिद्ध होते, परंतु यामुळे नेटवर्क सुरू होत नाही. तुम्ही यशस्वी ऑथेंटिकेशनचे रूपांतर स्टँडर्ड प्रोटोकॉल्स वापरून नेटवर्क ॲक्सेसमध्ये केले पाहिजे.
RADIUS Change of Authorization (CoA)
IEEE 802.1X आणि RFC 3576 मध्ये परिभाषित केलेले, RADIUS CoA पोर्टल सर्व्हरला यशस्वी OAuth झाल्यावर नेटवर्क कंट्रोलरला विनंती पाठवण्याची अनुमती देते. त्यानंतर कंट्रोलर डिव्हाइसला अन-ऑथेंटिकेटेड VLAN मधून गेस्ट VLAN मध्ये हलवतो. Cisco Meraki, HPE Aruba, Ruckus आणि Juniper Mist यांसारख्या एंटरप्राइझ-ग्रेड हार्डवेअरसाठी हे मानक आहे.
MAC ॲड्रेस बायपास
पर्यायी पर्याय म्हणून, पोर्टल सर्व्हर डिव्हाइसचा MAC ॲड्रेस अधिकृत क्लायंट म्हणून नोंदवतो आणि कंट्रोलर ॲक्सेस मंजूर करतो. हे अंमलात आणण्यास सोपे असले तरी कमी सुरक्षित आहे कारण MAC ॲड्रेस स्पूफ (बनावट) केले जाऊ शकतात.
Purple ची क्लाउड ओव्हरले टेक्नॉलॉजी हे हँडऑफ स्वयंचलित करते, आणि एकदा WeChat OAuth पूर्ण झाले की संबंधित हार्डवेअरला (ज्यामध्ये Ubiquiti UniFi, Cambium, Extreme आणि Fortinet समाविष्ट आहेत) योग्य सिग्नल पाठवते.
अनुपालन (Compliance) आणि सुरक्षेचे मुद्दे
GDPR आणि PIPL सुसंगतता
जर तुम्ही युरोपियन अभ्यागतांना सेवा देत असाल, तर WeChat OAuth द्वारे गोळा केलेल्या डेटाला GDPR लागू होतो. जर तुम्ही चिनी अभ्यागतांना सेवा देत असाल, तर चीनचा वैयक्तिक माहिती संरक्षण कायदा (PIPL) लागू होतो. दोन्ही फ्रेमवर्कसाठी प्रक्रियेला कायदेशीर आधार, स्पष्ट हेतू मर्यादा आणि डेटाचे किमानकरण आवश्यक आहे. snsapi_userinfo स्कोपच्या तुलनेत, snsapi_base स्कोप डेटा किमानकरण तत्त्वांशी जुळवून घेणे सोपे आहे.
CSRF संरक्षण
OAuth विनंत्यांमधील state पॅरामीटर Cross-Site Request Forgery रोखतो. तुम्ही क्रिप्टोग्राफीच्या दृष्टीने रँडम स्टेट व्हॅल्यू तयार केली पाहिजे, ती वापरकर्ता सेशनमध्ये स्टोअर केली पाहिजे आणि जेव्हा WeChat पुन्हा रीडायरेक्ट करते तेव्हा तिची पडताळणी केली पाहिजे.
Redirect URI पडताळणी
WeChat प्लॅटफॉर्मवर नोंदणीकृत असलेल्या अधिकृत डोमेनच्या विरूद्ध redirect_uri ची पडताळणी करते. जर तुमचा पोर्टल सर्व्हर भिन्न सबडोमेन, पाथ वापरत असेल किंवा HTTPS ऐवजी HTTP वापरत असेल, तर OAuth फ्लो एरर 40029 सह अपयशी ठरेल.
तुमच्या नेटवर्कच्या सुरक्षेबद्दल अधिक माहितीसाठी, आमचे Enterprise WiFi सुरक्षा: २०२६ साठी संपूर्ण मार्गदर्शक पहा.
महत्वाच्या व्याख्या
snsapi_base
एक WeChat OAuth स्कोप जो संमतीची विनंती न दाखवता केवळ वापरकर्त्याचा OpenID परत करतो.
जेव्हा IT टीम्सना लॉगिनमध्ये कोणताही अडथळा न आणता परत येणाऱ्या अभ्यागतांचे मूकपणे प्रमाणीकरण करावे लागते तेव्हा वापरले जाते.
snsapi_userinfo
एक WeChat OAuth स्कोप जो OpenID सोबत डेमोग्राफिक डेटा (टोपणनाव, लिंग, शहर) परत करतो आणि ज्यासाठी वापरकर्त्याच्या स्पष्ट संमतीची आवश्यकता असते.
पहिल्यांदा नोंदणी करताना वापरले जाते जेव्हा मार्केटिंग टीम्सना अभ्यागताचे प्रोफाईल तयार करायचे असते.
OpenID
विशिष्ट WeChat ऑफिशियल अकाउंटमधील विशिष्ट वापरकर्त्यासाठी एक अद्वितीय आयडेंटिफायर.
अभ्यागतांच्या वर्तनाचा आणि पुन्हा येणाऱ्या भेटींचा मागोवा घेण्यासाठी पोर्टल डेटाबेसमध्ये प्राथमिक की म्हणून वापरले जाते.
RADIUS CoA
Change of Authorisation. RFC 3576 मध्ये परिभाषित केलेली एक यंत्रणा जी सर्व्हरला सक्रिय सत्राची ऑथरायझेशन स्थिती बदलण्याची परवानगी देते.
यशस्वी WeChat प्रमाणीकरणानंतर वायरलेस कंट्रोलरला नेटवर्क ॲक्सेस मंजूर करण्यासाठी पोर्टल सर्व्हरद्वारे वापरले जाते.
PIPL
Personal Information Protection Law. चीनचा सर्वसमावेशक डेटा गोपनीयता नियम.
WeChat लॉगिन वापरून चिनी अभ्यागतांसाठी संमती फ्लो डिझाइन करताना GDPR सोबत याचाही विचार केला पाहिजे.
AppID and AppSecret
तुमचे ॲप्लिकेशन ओळखण्यासाठी आणि प्रमाणित करण्यासाठी WeChat द्वारे प्रदान केलेले क्रेडेंशियल्स.
AppSecret पोर्टल सर्व्हरवर सुरक्षितपणे राहिला पाहिजे आणि क्लायंट-साइड कोडमध्ये कधीही उघड केला जाऊ नये.
State Parameter
OAuth विनंतीमध्ये पाठवलेली आणि परत आल्यावर वैध ठरवली जाणारी एक क्रिप्टोग्राफिकली रँडम स्ट्रिंग.
Captive Portal वर Cross-Site Request Forgery (CSRF) हल्ले रोखण्यासाठी आवश्यक.
MAC Address Bypass
802.1X प्रमाणीकरणाची आवश्यकता न ठेवता डिव्हाइसच्या हार्डवेअर पत्त्याला ऑथराईज करून नेटवर्क ॲक्सेस मंजूर करण्याची एक पद्धत.
सोप्या नेटवर्क सेटअपसाठी RADIUS CoA ला एक पर्याय, जरी हा कमी सुरक्षित आहे.
सोडवलेली उदाहरणे
लंडनमधील एका लक्झरी रिटेल ब्रँडला चिनी ग्राहकांसाठी WeChat लॉगिन ऑफर करायचे आहे. त्यांना त्यांच्या ग्राहक वर्गाला समजून घेण्यासाठी डेमोग्राफिक डेटा गोळा करायचा आहे, परंतु त्यांना GDPR चे पालन आणि पोर्टलवरील उच्च ड्रॉप-ऑफ दरांबद्दल चिंता आहे.
रिटेलने WeChat ऑफिशियल अकाउंट्स प्लॅटफॉर्मवर सर्व्हिस अकाउंटची नोंदणी करावी. डेमोग्राफिक डेटा (टोपणनाव, लिंग, शहर) गोळा करण्यासाठी पहिल्यांदा कनेक्ट होणाऱ्या ग्राहकांसाठी त्यांनी snsapi_userinfo स्कोप वापरण्यासाठी पोर्टल कॉन्फिगर केले पाहिजे. GDPR चे पालन सुनिश्चित करण्यासाठी, पोर्टल पेजवर WeChat रिडायरेक्टपूर्वी एक स्पष्ट, सजग-निवडीचा ऑप्ट-इन पर्याय प्रदर्शित केला पाहिजे, ज्यामध्ये नक्की कोणता डेटा गोळा केला जातो आणि का, हे स्पष्ट केले पाहिजे. परत येणाऱ्या खरेदीदारांसाठी, पोर्टलने MAC ॲड्रेस ओळखला पाहिजे आणि कोणताही अडथळा न आणता मूक री-ऑथेंटिकेशनसाठी snsapi_base चा वापर केला पाहिजे.
एका स्टेडियमने HPE Aruba कंट्रोलर्सचा वापर करून नवीन WiFi नेटवर्क तैनात केले आहे. त्यांनी WeChat OAuth कॉन्फिगर केले आहे आणि पोर्टलला यशस्वीरित्या ॲक्सेस टोकन मिळाले आहे, परंतु अभ्यागताचे डिव्हाइस Captive Portal पेजवरच राहते आणि इंटरनेट ॲक्सेस करू शकत नाही.
या इंटिग्रेशनमध्ये नेटवर्क अंमलबजावणी यंत्रणेची कमतरता आहे. पोर्टल सर्व्हरने WeChat कडे वापरकर्त्याची ओळख सत्यापित केली आहे, परंतु त्याने HPE Aruba कंट्रोलरला ॲक्सेस देण्याच्या सूचना दिलेल्या नाहीत. कंट्रोलरला RADIUS Change of Authorisation (CoA) संदेश पाठवण्यासाठी पोर्टल सर्व्हर कॉन्फिगर केला पाहिजे, ज्यायोगे वापरकर्त्याचा MAC ॲड्रेस प्री-ऑथेंटिकेशन रोलमधून ऑथेंटिकेटेड गेस्ट रोलमध्ये स्थानांतरित करण्याच्या सूचना कंट्रोलरला मिळतील.
सराव प्रश्न
Q1. तुम्ही एका रिटेल चेनमध्ये captive portal तैनात करत आहात. चाचणी दरम्यान असे दिसून आले की iOS वर Safari मध्ये पोर्टल उघडणारे वापरकर्ते WeChat लॉगिन निवडताना त्रुटी अनुभवतात, परंतु WeChat मेसेज लिंकवरून पोर्टल उघडणारे वापरकर्ते यशस्वीरित्या लॉग इन होतात. याचे संभाव्य कारण काय आहे?
टीप: WeChat इन-ॲप ब्राउझर आणि मानक मोबाईल ब्राउझरमधील फरकाचा विचार करा.
नमुना उत्तर पहा
ही अंमलबजावणी केवळ Official Accounts Platform वर नोंदणीकृत असलेल्या Service Account वर अवलंबून असण्याची शक्यता आहे, जे फक्त WeChat इन-ॲप ब्राउझरमध्ये OAuth ला समर्थन देते. iOS वर Safari ला समर्थन देण्यासाठी, तुम्ही WeChat Open Platform वर Website Application ची नोंदणी देखील केली पाहिजे आणि Safari वापरकर्त्यांना QR कोड फ्लोकडे वळवण्यासाठी युझर एजंट डिटेक्शन लागू केले पाहिजे.
Q2. ॲक्सेस टोकन एक्स्चेंज दरम्यान WeChat API कडून वारंवार 40029 'invalid code' त्रुटी येत असल्याचे तुमच्या पोर्टल सर्व्हर लॉग्जमध्ये दिसत आहे. तुम्ही आधी कोणते कॉन्फिगरेशन तपासले पाहिजे?
टीप: WeChat ऑथेंटिकेशन विनंतीच्या स्रोताची पडताळणी कशी करते याचा विचार करा.
नमुना उत्तर पहा
तुम्ही redirect_uri कॉन्फिगरेशनची पडताळणी केली पाहिजे. WeChat डेव्हलपर कन्सोलमध्ये नोंदणीकृत असलेल्या अधिकृत डोमेनशी रिडायरेक्ट URI ची काटेकोरपणे पडताळणी करते. जर पोर्टल वेगळे सबडोमेन वापरत असेल किंवा त्यामध्ये HTTPS नसेल, तर WeChat कोड एक्स्चेंज नाकारेल.
Q3. एका व्हेन्यू ऑपरेटरला अभ्यागतांचा डेटा गोळा करायचा आहे परंतु लॉगिन प्रक्रियेदरम्यान कोणतीही अडचण नको आहे. संमती प्रॉम्ट न दाखवता अभ्यागताचे निकनेम आणि शहर गोळा करण्यासाठी WeChat लॉगिन कॉन्फिगर करण्याची विनंती ते तुम्हाला करतात. तुम्ही काय उत्तर द्याल?
टीप: विविध OAuth स्कोपच्या क्षमतेचे पुनरावलोकन करा.
नमुना उत्तर पहा
तुम्ही ऑपरेटरला कळवले पाहिजे की हे तांत्रिकदृष्ट्या अशक्य आहे. निकनेम आणि शहर यासारखा डेमोग्राफिक डेटा गोळा करण्यासाठी snsapi_userinfo स्कोपची आवश्यकता असते, ज्यामुळे WeChat संमती प्रॉम्ट अनिवार्यपणे ट्रिगर होतो. शून्य अडथळ्यांसह लॉगिन मिळवण्यासाठी, तुम्ही snsapi_base वापरणे आवश्यक आहे, जे बॅकग्राउंडमध्ये कार्य करते परंतु केवळ OpenID परत करते.
या मालिकेमध्ये पुढे वाचा
Ruijie साठी कॅप्टिव्ह पोर्टल: Purple अतिथी WiFi सह सेट अप करा
वेब ऑथेंटिकेशन आणि RADIUS चा वापर करून, कमांड लाइनवरून कॉन्फिगर केलेले Purple चे क्लाउड अतिथी WiFi, Ruijie RG Series ॲक्सेस पॉइंट्सवर कसे काम करते आणि अचूक सेटअप पायऱ्या कुठे शोधायच्या.
B2B Captive Portals डिझाइन करणे: नोंदणीकृत नाव आणि कंपनी डेटा गोळा करणे
हे मार्गदर्शक IT व्यवस्थापक आणि वेन्यू ऑपरेटर्सना B2B captive portals डिझाइन करण्यासाठी विक्रेता-तटस्थ तांत्रिक फ्रेमवर्क प्रदान करते. यामध्ये नोंदणीकृत नाव आणि कंपनी डेटा मिळवण्यासाठी नोंदणी फील्ड्सची रचना कशी करावी, GDPR चे पालन राखून आणि खाते-स्तरीय बुद्धिमत्ता तयार करून उच्च पूर्णत्व दर सुनिश्चित करणे याबद्दल सविस्तर माहिती दिली आहे.
कॅप्टिव्ह पोर्टल आर्किटेक्चर: सुरक्षा, रिडायरेक्शन आणि सर्वोत्तम पद्धती
एंटरप्राइझ कॅप्टिव्ह पोर्टल आर्किटेक्चरवरील एक निश्चित तांत्रिक संदर्भ. हे मार्गदर्शक सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करणाऱ्या IT नेत्यांसाठी नेटवर्क आयसोलेशन, DNS रिडायरेक्शन, RADIUS ऑथेंटिकेशन आणि सुरक्षा अनुपालन उलगडून दाखवते.