मुख्य मजकुराकडे जा

Captive Portals साठी WeChat OAuth प्रमाणीकरण कसे कॉन्फिगर करावे

हे तांत्रिक मार्गदर्शक Captive Portals साठी WeChat OAuth प्रमाणीकरण कसे कॉन्फिगर करावे हे स्पष्ट करते. यामध्ये चिनी अभ्यागतांकडून प्रथम-पक्ष डेटा सुरक्षितपणे गोळा करण्यासाठी आवश्यक असणारी प्लॅटफॉर्म नोंदणी, OAuth 2.0 फ्लो, स्कोप निवड आणि नेटवर्क अंमलबजावणी यंत्रणांचे तपशील दिले आहेत.

📖 4 मिनिट वाचन📝 815 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
कॅप्टिव्ह पोर्टल्ससाठी WECHAT OAUTH ऑथेंटिकेशन कसे कॉन्फिगर करावे एक Purple तांत्रिक माहितीपत्रक - साधारण १० मिनिटे --- परिचय आणि संदर्भ (साधारण १ मिनिट) स्वागत आहे. जर आपण चायनीज पर्यटकांना सेवा देणाऱ्या हॉटेल, रिटेल साखळी, स्टेडियम किंवा कॉन्फरन्स सेंटरमधील अतिथी WiFi साठी जबाबदार असाल, तर हे माहितीपत्रक आपल्यासाठी आहे. Tencent च्या २०२४ च्या डेटा नुसार, WeChat चे १.३८ अब्ज मासिक सक्रिय वापरकर्ते आहेत. त्यातील बहुतांश चीनमध्ये आहेत, परंतु या प्लॅटफॉर्मचा लक्षणीय आंतरराष्ट्रीय प्रभाव देखील आहे - युनायटेड स्टेट्समध्ये ४ दशलक्ष वापरकर्ते, मलेशियामध्ये १२ दशलक्ष, आणि संपूर्ण आग्नेय आशिया, युरोप आणि मध्य पूर्वेमध्ये ही संख्या वाढत आहे. जेव्हा एखादा चायनीज अतिथी आपल्या WiFi शी कनेक्ट होतो आणि त्याला फक्त ईमेल, Facebook किंवा व्हाउचर कोड असलेले लॉगिन पेज दिसते, तेव्हा त्यांना त्वरित अडचणीचा सामना करावा लागतो. त्यांच्याकडे त्या डिव्हाइसवर स्थानिक ईमेल पत्ता सेट केलेला नसू शकतो. त्यांच्याकडे WeChat नक्कीच असते. त्यामुळे प्रश्न आपण WeChat लॉगिन ऑफर करावे की नाही हा नसून - ते अचूक, सुरक्षितपणे आणि आपण प्रत्यक्षात वापरू शकू असा फर्स्ट-पार्टी डेटा कसा जनरेट होईल अशा पद्धतीने कसे कॉन्फिगर करावे हा आहे. आज आपण याबद्दलच माहिती घेणार आहोत. आपण OAuth २.० फ्लो, आपल्याला आवश्यक असणारे दोन प्लॅटफॉर्म रजिस्ट्रेशन्स, आपण कोणता डेटा गोळा करतो हे ठरवणारा स्कोप निर्णय, नेटवर्क-साइड एन्फोर्समेंट मेकॅनिझम आणि २०२६ मध्ये महत्त्वाचे असणारे कंप्लायन्सचे मुद्दे समजून घेणार आहोत. --- तांत्रिक विश्लेषण (साधारण ५ मिनिटे) चला आर्किटेक्चरपासून सुरुवात करूया. एक Captive Portal अनऑथेंटिकेटेड डिव्हाइसवरून येणारे HTTP ट्रॅफिक इंटरसेप्ट करते आणि ते लॉगिन पेजवर रिडायरेक्ट करते. ते लॉगिन पेज पोर्टल सर्व्हरवर होस्ट केलेले असते - एकतर ऑन-प्रिमायसेस किंवा क्लाउडवर. जेव्हा आपण WeChat OAuth जोडता, तेव्हा आपण त्या फ्लोमध्ये थर्ड-पार्टी आयडेंटिटी प्रोव्हाइडर समाविष्ट करत असता. याचा क्रम खालीलप्रमाणे आहे. अतिथी आपल्या SSID शी कनेक्ट होतो. ॲक्सेस पॉइंट किंवा वायरलेस कंट्रोलर हे शोधून काढतो की डिव्हाइसचे कोणतेही ऑथेंटिकेटेड सेशन नाही आणि सर्व HTTP ट्रॅफिक आपल्या Captive Portal URL कडे रिडायरेक्ट करतो. पोर्टल पेज लोड होते आणि WeChat सह लॉगिन पर्याय सादर करते. अतिथी WeChat लॉगिनवर टॅप करतो. आपला पोर्टल सर्व्हर ब्राउझरला open.weixin.qq.com वरील WeChat च्या ऑथरायझेशन एंडपॉइंटवर रिडायरेक्ट करतो, ज्यामध्ये आपला AppID, रिडायरेक्ट URI, कोडचा रिस्पॉन्स टाईप आणि स्कोप पाठवला जातो. WeChat हे ऑथेंटिकेशन पूर्णपणे स्वतःच्या सर्व्हरवर हाताळते. जर अतिथी त्यांच्या ब्राउझरमध्ये आधीपासूनच WeChat वर लॉग इन असेल, तर त्यांना एक संमती स्क्रीन दिसते. जर ते WeChat इन-ॲप ब्राउझर वापरत असतील, तर snsapi_base स्कोपसह हा अनुभव कोणताही संमतीचा संदेश न दाखवता शांतपणे पूर्ण होऊ शकतो. त्यानंतर WeChat तात्पुरत्या ऑथरायझेशन कोडसह आपल्या पोर्टलच्या रिडायरेक्ट URI कडे परत रिडायरेक्ट करते. आपला पोर्टल सर्व्हर आपला AppID, AppSecret, कोड आणि authorization_code चा ग्रँट टाईप पास करून api.weixin.qq.com/sns/oauth2/access_token वर कॉल करून त्या कोडच्या बदल्यात ॲक्सेस टोकन मिळवतो. WeChat एक ॲक्सेस टोकन, रिफ्रेश टोकन, वापरकर्त्याचा OpenID आणि मंजूर केलेला स्कोप परत पाठवते. आपण snsapi_userinfo स्कोपची विनंती केली असल्यास, आपण वापरकर्त्याचे टोपणनाव (nickname), अवतार, लिंग आणि शहर मिळवण्यासाठी दुसरा API कॉल करू शकता. आता, दोन प्लॅटफॉर्म Registrations बद्दल जाणून घेऊया. बहुतांश अंमलबजावणीमध्ये याच ठिकाणी चूक होते. WeChat चे दोन स्वतंत्र डेव्हलपर प्लॅटफॉर्म्स आहेत. open.weixin.qq.com वरील WeChat Open Platform हा वेबसाइट ॲप्लिकेशन्स आणि मोबाईल ॲप्स हाताळतो. तर mp.weixin.qq.com वरील WeChat Official Accounts Platform हा पब्लिक अकाउंट्स हाताळतो - ज्याची बहुतांश ठिकाणांना (venues) प्रत्यक्षात गरज असते. WeChat च्या इन-ॲप ब्राउझरमध्ये पाहुण्यांना सेवा देणाऱ्या Captive Portal साठी, तुम्हाला Official Accounts Platform वर Service Account ची आवश्यकता असते. Subscription Account यासाठी चालणार नाही - कारण त्यामध्ये OAuth वेब पेज ऑथोरायझेशन परवानग्या नसतात. Service Account मध्ये या परवानग्या असतात, आणि तो snsapi_base आणि snsapi_userinfo या दोन्ही स्कोप्सना सपोर्ट करतो. WeChat बाहेरील सामान्य मोबाईल ब्राउझरवरून - Android वरील Chrome, iOS वरील Safari वरून - ॲक्सेस केल्या जाणाऱ्या Captive Portal साठी, तुम्हाला Open Platform वर वेबसाइट ॲप्लिकेशन रजिस्टर करावे लागेल. हे snsapi_login स्कोप वापरते आणि एक QR कोड दाखवते जो वापरकर्ता त्यांच्या WeChat ॲपद्वारे स्कॅन करतो. प्रत्यक्षात, बहुतांश ठिकाणच्या उपयोजनांमध्ये दोन्ही वापरले जातात. हॉटेलच्या WiFi वरील पाहुणा कदाचित Chrome मध्ये पोर्टल उघडू शकतो, एक QR कोड पाहू शकतो, तो WeChat द्वारे स्कॅन करू शकतो आणि ऑथेंटिकेट करू शकतो. किंवा ते स्वतः WeChat मधील लिंक फॉलो करू शकतात, इन-ॲप ब्राउझरमध्ये येऊ शकतात आणि snsapi_base द्वारे सुलभतेने ऑथेंटिकेट करू शकतात. आता स्कोप निवडीबद्दल बोलूया, कारण हा एक महत्त्वाचा निर्णय घेण्याचा मुद्दा आहे. snsapi_base केवळ OpenID रिटर्न करतो - जो तुमच्या Official Account मधील त्या वापरकर्त्याचा एक युनिक आयडेंटिफायर आहे. यासाठी कोणत्याही वापरकर्त्याच्या संमतीची (consent prompt) गरज नसते. हे ऑथेंटिकेशन वापरकर्त्याला दिसत नाही. हे अशा पाहुण्यांसाठी आदर्श आहे ज्यांची प्रोफाइल तुम्ही आधीच तयार केली आहे, किंवा अशा ठिकाणांसाठी जेथे तुम्हाला नवीन डेटा गोळा न करता अगदी सुलभ अनुभव द्यायचा आहे. snsapi_userinfo हा OpenID सोबत वापरकर्त्याचे WeChat निकनेम, प्रोफाइल पिक्चर, लिंग, भाषा सेटिंग आणि शहर रिटर्न करतो. यासाठी स्पष्ट संमती स्क्रीनची (consent screen) आवश्यकता असते. वापरकर्त्याला त्यांच्या माहितीमध्ये प्रवेश मिळवण्यासाठी तुमचे Official Account अनुमती देत आहे का, असे विचारणारा प्रॉमप्ट दिसतो. बहुतांश वापरकर्ते हे स्वीकारतात, पण यामुळे प्रक्रियेत एक अतिरिक्त पायरी वाढते. योग्य निवड ही तुमच्या वापराच्या परिस्थितीवर (use case) अवलंबून असते. पहिल्यांदाच नोंदणी करणाऱ्या पाहुण्यासाठी जिथे तुम्हाला प्रोफाइल तयार करायची आहे, तिथे snsapi_userinfo वापरा आणि तुमच्या पोर्टल पेजवर GDPR सुसंगत संमती लेयरसह त्याची जोडणी करा. आधीच संमती दिलेल्या आणि ज्यांची प्रोफाइल तुमच्याकडे आधीपासूनच आहे अशा परत येणाऱ्या पाहुण्यांसाठी, सुलभ रि-ऑथेंटिकेशनसाठी snsapi_base वापरा. आता, नेटवर्क एन्फोर्समेंट बाजू पाहूया. OAuth टोकन मिळवणे ओळख सिद्ध करते, परंतु ते आपोआप नेटवर्क सुरू करत नाही. यशस्वी ऑथेंटिकेशनचे नेटवर्क ॲक्सेसमध्ये रूपांतर करण्यासाठी तुम्हाला एका यंत्रणेची आवश्यकता आहे. दोन मानक दृष्टिकोन म्हणजे RADIUS Change of Authorisation (RFC 3576 मध्ये परिभाषित) आणि MAC address bypass. RADIUS CoA सह, यशस्वी OAuth नंतर सर्व्हर नेटवर्क कंट्रोलरला CoA विनंती पाठवतो आणि कंट्रोलर डिव्हाइसला अनधिकृत VLAN मधून अतिथी VLAN मध्ये हलवतो. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist आणि बर्‍याच एंटरप्राइझ-ग्रेड कंट्रोलर्ससह कार्य करते. MAC bypass सह, पोर्टल सर्व्हर डिव्हाइसचा MAC address अधिकृत क्लायंट म्हणून नोंदणीकृत करतो आणि कंट्रोलर त्याला परवानगी देतो. MAC bypass ची अंमलबजावणी करणे सोपे आहे परंतु कमी सुरक्षित आहे, कारण MAC address स्पूफ केले जाऊ शकतात. Purple चे Guest WiFi प्लॅटफॉर्म या दोन्ही यंत्रणा हाताळते. WeChat OAuth पूर्ण झाल्यानंतर, Purple चे क्लाउड ओव्हरले संबंधित हार्डवेअरला योग्य सिग्नल पाठवते - मग ते Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium किंवा Fortinet असो. ठिकाण संचालकाला ते भाषांतर स्वहस्ते व्यवस्थापित करण्याची आवश्यकता नाही. - - - अंमलबजावणीच्या शिफारसी आणि त्रुटी (अंदाजे 2 मिनिटे) WeChat OAuth captive portal अंमलबजावणी अपयशी ठरण्यास कारणीभूत असलेल्या पाच गोष्टी मी तुम्हाला सांगतो. पहिली: redirect URI विसंगती. WeChat तुम्ही प्लॅटफॉर्मवर नोंदणीकृत केलेल्या अधिकृत डोमेनच्या विरुद्ध redirect URI सत्यापित करते. जर तुमचा पोर्टल सर्व्हर भिन्न सबडोमेन, भिन्न मार्ग किंवा HTTPS ऐवजी HTTP वापरत असेल, तर OAuth फ्लो 'error 40029 - invalid code' सह अपयशी ठरतो. तुम्ही वापरत असलेल्या प्रत्येक डोमेन व्हेरिएंटची नोंदणी करा, ज्यामध्ये स्टेजिंग वातावरणाचा देखील समावेश आहे. दुसरी: क्लायंट बाजूचे AppSecret. तुमचे AppSecret कधीही क्लायंट-साइड JavaScript किंवा मोबाईल ॲप बायनरीमध्ये दिसू नये. ते तुमच्या सर्व्हरवर असणे आवश्यक आहे. जर ते उघड झाले, तर कोणीही तुमच्या ॲप्लिकेशनचे सोंग घेऊ शकते आणि तुमच्या वतीने WeChat च्या API ला कॉल करू शकते. तिसरी: गहाळ CSRF संरक्षण. OAuth विनंतीमधील 'state' पॅरामीटर विशेषतः cross-site request forgery रोखण्यासाठी अस्तित्वात आहे. एक क्रिप्टोग्राफिकदृष्ट्या यादृच्छिक 'state' व्हॅल्यू जनरेट करा, ती वापरकर्त्याच्या सेशनमध्ये स्टोअर करा आणि WeChat पुन्हा रिडायरेक्ट करते तेव्हा ती सत्यापित करा. हे वगळल्यास गंभीर सुरक्षा त्रुटी निर्माण होऊ शकते. चौथी: इन-ॲप ब्राउझर डिटेक्शन गॅप. WeChat चा इन-ॲप ब्राउझर एक विशिष्ट युझर एजंट स्ट्रिंग सेट करतो ज्यामध्ये "MicroMessenger" समाविष्ट असते. जर तुमचे पोर्टल हे शोधण्यात आणि योग्य OAuth फ्लो प्रदान करण्यात अपयशी ठरले - इन-ॲप ब्राउझरसाठी Official Account फ्लो, मानक ब्राउझरसाठी Open Platform QR फ्लो - तर वापरकर्त्यांना खराब अनुभव येतो किंवा त्रुटी येते. पाचवी: GDPR आणि PIPL संरेखन. तुम्ही युरोपियन अभ्यागतांना सेवा देत असल्यास, तुम्ही WeChat OAuth द्वारे गोळा करत असलेल्या डेटाला GDPR लागू होतो. जर तुम्ही चीनी अभ्यागतांना सेवा देत असल्यास, तुम्ही त्यांच्या डेटावर कशा प्रकारे प्रक्रिया करता याला चीनचा वैयक्तिक माहिती संरक्षण कायदा - PIPL - लागू होतो. दोन्हीसाठी प्रक्रियेचा कायदेशीर आधार, स्पष्ट हेतू मर्यादा आणि डेटाचे न्यूनीकरण आवश्यक आहे. snsapi_base चे समर्थन करणे snsapi_userinfo च्या तुलनेत डेटा न्यूनीकरण तत्त्वांतर्गत सोपे आहे. तुम्ही जे काही गोळा करता, त्याचा तुमचा कायदेशीर आधार आणि तुमच्या डेटा जतन करण्याचा कालावधी दस्तऐवजीकरण करा. - - - रॅपिड-फायर प्रश्न आणि उत्तरे (अंदाजे 1 मिनिट) प्रश्न: मी ईमेल आणि SMS लॉगिन देणाऱ्या पोर्टलवर WeChat लॉगिन वापरू शकतो का? होय. Purple सह बहुतांश एंटरप्राइझ पोर्टल प्लॅटफॉर्म्स, एकाच पोर्टल पेजवर मल्टिपल ऑथेंटिकेशन पद्धतींना सपोर्ट करतात. इतर पर्यायांसह WeChat हा एक पर्याय म्हणून दिसतो. प्रश्न: WeChat OAuth हे iOS वर काम करते का? होय, पण एका फरकासह. Apple चे App Tracking Transparency फ्रेमवर्क सर्व्हर-साइड OAuth फ्लोवर परिणाम करत नाही. iOS वरील Safari मधील WeChat लॉगिन हे QR कोड फ्लो किंवा रीडायरेक्ट फ्लोद्वारे काम करते. WeChat ॲप स्वतः ऑथेंटिकेशन हाताळते. प्रश्न: WeChat ची API अनुपलब्ध असल्यास काय होते? तुमच्या पोर्टलमध्ये एक पर्यायी व्यवस्था (fallback) असायला हवी. जर WeChat API कॉल टाईम आऊट झाला किंवा एरर आली, तर वापरकर्त्याला पर्यायी लॉगिन पद्धतीकडे रीडायरेक्ट करा. त्यांना रिकामी स्क्रीन दाखवू नका. प्रश्न: मी OpenID चा वापर सातत्यपूर्ण ग्राहक ओळखकर्ता म्हणून करू शकतो का? तुमच्या Official Account अंतर्गत, होय. दिलेल्या वापरकर्त्यासाठी आणि दिलेल्या Official Account साठी OpenID स्थिर असतो. तुमच्याकडे मल्टिपल Official Accounts असल्यास, त्याच वापरकर्त्याचे त्या खात्यांवर वेगवेगळे OpenID असतील. क्रॉस-अकाउंट ओळख रिझोल्यूशनसाठी, WeChat एक UnionID प्रदान करते, ज्यासाठी तुमचे अकाउंट्स Open Platform वर लिंक असणे आवश्यक आहे. --- सारांश आणि पुढील पायऱ्या (अंदाजे १ मिनिट) थोडक्यात सांगायचे तर. Captive Portal साठी WeChat OAuth ऑथेंटिकेशन हा दोन-प्लॅटफॉर्म नोंदणीचा सराव, स्कोपचा निर्णय, नेटवर्क अंमलबजावणीचे एकत्रीकरण आणि अनुपालन पुनरावलोकन आहे. या चार गोष्टी व्यवस्थित करा आणि तुमच्याकडे अशी लॉगिन पद्धत असेल जी कोणत्याही पासवर्डच्या त्रासाशिवाय एक अब्जाहून अधिक संभाव्य अभ्यागतांना सेवा देते. पुढील व्यावहारिक पायऱ्या या आहेत. पहिली, तुमचे अभ्यागत WeChat इन-ॲप ब्राउझरमध्ये पोर्टलचा सामना करतात की मानक मोबाईल ब्राउझरमध्ये हे निश्चित करा - हे तुम्हाला कोणत्या प्लॅटफॉर्म नोंदणीची आवश्यकता आहे हे ठरवते. दुसरी, स्कोप ठरवा - परत येणाऱ्या पाहुण्यांसाठी snsapi_base, संमतीसह पहिल्यांदा नोंदणी करण्यासाठी snsapi_userinfo. तिसरी, तुमचे नेटवर्क हार्डवेअर RADIUS CoA ला सपोर्ट करत असल्याची पुष्टी करा किंवा पर्याय म्हणून MAC बायपास कॉन्फिगर करा. चौथी, तुमच्या प्रायव्हसी नोटीस आणि संमती फ्लोचे GDPR आणि PIPL आवश्यकतांनुसार पुनरावलोकन करा. पाचवी, लाईव्ह जाण्यापूर्वी रीडायरेक्ट URI, स्टेट पॅरामीटर व्हॅलिडेशन आणि इन-ॲप ब्राउझर डिटेक्शन तपासा. जर तुम्हाला पाहायचे असेल की Purple हे २०२४ मध्ये ८०,००० पेक्षा जास्त ठिकाणांवर आणि ४४० दशलक्ष लॉगिनसह एका व्यापक Guest WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मचा भाग म्हणून WeChat OAuth कसे हाताळते - तर purple.ai ला भेट द्या किंवा तुमच्या अकाउंट टीमशी संपर्क साधा. ऐकल्याबद्दल धन्यवाद. --- स्क्रिप्ट समाप्त

header_image.png

कार्यकारी सारांश (Executive Summary)

जेव्हा चिनी अभ्यागत तुमच्या WiFi शी कनेक्ट होतात, तेव्हा केवळ ईमेल किंवा Facebook लॉगिन पर्यायांसह स्प्लॅश पृष्ठ दाखवणे त्यांच्यासाठी अडथळा ठरते. १३.८ अब्ज मासिक सक्रिय वापरकर्त्यांसह, WeChat ला ओळख प्रदाता (identity provider) म्हणून कॉन्फिगर केल्यास हा अडथळा दूर होतो. हे मार्गदर्शक Captive Portals साठी WeChat OAuth 2.0 ऑथेंटिकेशन कसे लागू करावे हे दाखवते, ज्यामध्ये आवश्यक प्लॅटफॉर्म नोंदणी, OAuth फ्लो आणि यशस्वी लॉगिनचे नेटवर्क ॲक्सेसमध्ये रूपांतर करण्यासाठी आवश्यक नेटवर्क अंमलबजावणी यंत्रणेचे तपशील दिले आहेत. आम्ही GDPR आणि PIPL अंतर्गत अनुपालन आवश्यकतांसह, एंटरप्राइझ-ग्रेड हार्डवेअरसाठी तांत्रिक अंमलबजावणी समाविष्ट करू.

तांत्रिक आर्किटेक्चर (Technical Architecture)

Captive Portal ऑथेंटिकेशन नसलेल्या उपकरणांमधील HTTP ट्रॅफिक अडवते आणि त्यांना पोर्टल सर्व्हरवर होस्ट केलेल्या स्प्लॅश पृष्ठावर रिडायरेक्ट करते. जेव्हा तुम्ही WeChat OAuth समाकलित करता, तेव्हा तुम्ही या फ्लोमध्ये तृतीय-पक्ष ओळख प्रदाता समाविष्ट करता.

architecture_overview.png

येथे अचूक चरण-दर-चरण परस्परसंवाद दिला आहे:

  1. अभ्यागत SSID शी कनेक्ट होतो.
  2. वायरलेस ॲक्सेस पॉईंट (AP) किंवा वायरलेस कंट्रोलर ऑथेंटिकेशन नसलेले सेशन शोधतो आणि HTTP ट्रॅफिकला Captive Portal URL वर रिडायरेक्ट करतो.
  3. अभ्यागत WeChat लॉगिन निवडतो.
  4. पोर्टल सर्व्हर ब्राउझरला WeChat च्या ऑथरायझेशन एंडपॉइंटवर (open.weixin.qq.com) रिडायरेक्ट करतो, ज्यामध्ये AppID, redirect_uri, response_type=code आणि scope पास केले जातात.
  5. WeChat ऑथेंटिकेशन हाताळते. जर अभ्यागत WeChat इन-ॲप ब्राउझरमध्ये snsapi_base स्कोप वापरत असेल, तर हे शांतपणे (पार्श्वभूमीत) घडते.
  6. WeChat तात्पुरत्या ऑथरायझेशन कोडसह पोर्टलच्या redirect_uri वर परत रिडायरेक्ट करते.
  7. पोर्टल सर्व्हर api.weixin.qq.com/sns/oauth2/access_token ला कॉल करून या कोडची ॲक्सेस टोकनशी अदलाबदल करतो.
  8. WeChat द्वारे access_token, refresh_token आणि वापरकर्त्याचा openid परत मिळतो.

प्लॅटफॉर्म नोंदणी आवश्यकता (Platform Registration Requirements)

WeChat लॉगिन लागू करण्यासाठी योग्य डेव्हलपर प्लॅटफॉर्मवर नोंदणी करणे आवश्यक आहे. WeChat दोन स्वतंत्र प्लॅटफॉर्म चालवते आणि चुकीचे प्लॅटफॉर्म निवडल्यास एकत्रीकरण अयशस्वी होईल.

WeChat Official Accounts Platform

WeChat इन-अॅप ब्राउझरमध्ये दाखवल्या जाणाऱ्या Captive Portals साठी, तुम्हाला WeChat ऑफिशियल अकाउंट्स प्लॅटफॉर्म (mp.weixin.qq.com) वर नोंदणीकृत Service Account आवश्यक आहे. Subscription Accounts कडे आवश्यक असणारे OAuth वेबपेज ऑथरायझेशनचे अधिकार नसतात. Service Accounts हे snsapi_base आणि snsapi_userinfo या दोन्ही स्कोप्सना सपोर्ट करतात.

WeChat ओपन प्लॅटफॉर्म

WeChat च्या बाहेरील स्टँडर्ड मोबाईल ब्राउझरवरून (उदा. Android वरील Chrome किंवा iOS वरील Safari) ॲक्सेस केल्या जाणाऱ्या Captive Portals साठी, तुम्हाला ओपन प्लॅटफॉर्म (open.weixin.qq.com) वर नोंदणीकृत Website Application आवश्यक आहे. हे snsapi_login स्कोपचा वापर करते आणि युझरला त्यांच्या WeChat अॅपद्वारे स्कॅन करण्यासाठी QR कोड दाखवते.

सर्व ॲक्सेस मार्गांचा समावेश करण्यासाठी बहुतेक एंटरप्राइझ डिप्लॉयमेंटना दोन्ही नोंदणी करणे आवश्यक असते.

स्कोप निवड आणि डेटा गोळा करणे

स्कोप पॅरामीटर हे ठरवतो की WeChat तुमच्या पोर्टल सर्व्हरला कोणता डेटा परत पाठवतो. या निर्णयाचा परिणाम युझरच्या अनुभवावर आणि डेटा प्रायव्हसीच्या नियमांच्या पालनावर होतो.

scope_comparison_chart.png

snsapi_base

हा स्कोप फक्त OpenID परत करतो, जो तुमच्या ऑफिशियल अकाउंटमधील युझरचा युनिक आयडेंटिफायर असतो. यासाठी कोणत्याही युझर ऑथरायझेशन प्रॉम्प्टची गरज नसते, ज्यामुळे ऑथेंटिकेशन अतिशय सोपे आणि सुलभ होते. हे अशा परत येणाऱ्या व्हिजिटर्ससाठी उत्तम आहे ज्यांचे प्रोफाइल तुमच्याकडे आधीपासूनच आहे, किंवा ज्या ठिकाणी नवीन डेटा गोळा करण्यापेक्षा वेगवान प्रवासाला प्राधान्य दिले जाते.

snsapi_userinfo

हा स्कोप युझरच्या WeChat निकनेम, प्रोफाइल पिक्चर, लिंग, लँग्वेज सेटिंग्स आणि शहरासह OpenID परत करतो. यासाठी स्वतंत्र ऑथरायझेशन पेजची आवश्यकता असते, ज्यामुळे युझरच्या प्रवासात एक पायरी वाढते. पहिल्यांदा येणाऱ्या व्हिजिटर्सच्या नोंदणीसाठी याचा वापर करा जेथे प्रोफाइल तयार करणे आवश्यक असते, आणि हे GDPR सुसंगत संमती लेयरसह जोडलेले असावे.

नेटवर्क एन्फोर्समेंट इंटिग्रेशन

OAuth टोकन मिळवल्याने ओळख सिद्ध होते, परंतु यामुळे नेटवर्क सुरू होत नाही. तुम्ही यशस्वी ऑथेंटिकेशनचे रूपांतर स्टँडर्ड प्रोटोकॉल्स वापरून नेटवर्क ॲक्सेसमध्ये केले पाहिजे.

RADIUS Change of Authorization (CoA)

IEEE 802.1X आणि RFC 3576 मध्ये परिभाषित केलेले, RADIUS CoA पोर्टल सर्व्हरला यशस्वी OAuth झाल्यावर नेटवर्क कंट्रोलरला विनंती पाठवण्याची अनुमती देते. त्यानंतर कंट्रोलर डिव्हाइसला अन-ऑथेंटिकेटेड VLAN मधून गेस्ट VLAN मध्ये हलवतो. Cisco Meraki, HPE Aruba, Ruckus आणि Juniper Mist यांसारख्या एंटरप्राइझ-ग्रेड हार्डवेअरसाठी हे मानक आहे.

MAC ॲड्रेस बायपास

पर्यायी पर्याय म्हणून, पोर्टल सर्व्हर डिव्हाइसचा MAC ॲड्रेस अधिकृत क्लायंट म्हणून नोंदवतो आणि कंट्रोलर ॲक्सेस मंजूर करतो. हे अंमलात आणण्यास सोपे असले तरी कमी सुरक्षित आहे कारण MAC ॲड्रेस स्पूफ (बनावट) केले जाऊ शकतात.

Purple ची क्लाउड ओव्हरले टेक्नॉलॉजी हे हँडऑफ स्वयंचलित करते, आणि एकदा WeChat OAuth पूर्ण झाले की संबंधित हार्डवेअरला (ज्यामध्ये Ubiquiti UniFi, Cambium, Extreme आणि Fortinet समाविष्ट आहेत) योग्य सिग्नल पाठवते.

अनुपालन (Compliance) आणि सुरक्षेचे मुद्दे

GDPR आणि PIPL सुसंगतता

जर तुम्ही युरोपियन अभ्यागतांना सेवा देत असाल, तर WeChat OAuth द्वारे गोळा केलेल्या डेटाला GDPR लागू होतो. जर तुम्ही चिनी अभ्यागतांना सेवा देत असाल, तर चीनचा वैयक्तिक माहिती संरक्षण कायदा (PIPL) लागू होतो. दोन्ही फ्रेमवर्कसाठी प्रक्रियेला कायदेशीर आधार, स्पष्ट हेतू मर्यादा आणि डेटाचे किमानकरण आवश्यक आहे. snsapi_userinfo स्कोपच्या तुलनेत, snsapi_base स्कोप डेटा किमानकरण तत्त्वांशी जुळवून घेणे सोपे आहे.

CSRF संरक्षण

OAuth विनंत्यांमधील state पॅरामीटर Cross-Site Request Forgery रोखतो. तुम्ही क्रिप्टोग्राफीच्या दृष्टीने रँडम स्टेट व्हॅल्यू तयार केली पाहिजे, ती वापरकर्ता सेशनमध्ये स्टोअर केली पाहिजे आणि जेव्हा WeChat पुन्हा रीडायरेक्ट करते तेव्हा तिची पडताळणी केली पाहिजे.

Redirect URI पडताळणी

WeChat प्लॅटफॉर्मवर नोंदणीकृत असलेल्या अधिकृत डोमेनच्या विरूद्ध redirect_uri ची पडताळणी करते. जर तुमचा पोर्टल सर्व्हर भिन्न सबडोमेन, पाथ वापरत असेल किंवा HTTPS ऐवजी HTTP वापरत असेल, तर OAuth फ्लो एरर 40029 सह अपयशी ठरेल.

तुमच्या नेटवर्कच्या सुरक्षेबद्दल अधिक माहितीसाठी, आमचे Enterprise WiFi सुरक्षा: २०२६ साठी संपूर्ण मार्गदर्शक पहा.

महत्वाच्या व्याख्या

snsapi_base

एक WeChat OAuth स्कोप जो संमतीची विनंती न दाखवता केवळ वापरकर्त्याचा OpenID परत करतो.

जेव्हा IT टीम्सना लॉगिनमध्ये कोणताही अडथळा न आणता परत येणाऱ्या अभ्यागतांचे मूकपणे प्रमाणीकरण करावे लागते तेव्हा वापरले जाते.

snsapi_userinfo

एक WeChat OAuth स्कोप जो OpenID सोबत डेमोग्राफिक डेटा (टोपणनाव, लिंग, शहर) परत करतो आणि ज्यासाठी वापरकर्त्याच्या स्पष्ट संमतीची आवश्यकता असते.

पहिल्यांदा नोंदणी करताना वापरले जाते जेव्हा मार्केटिंग टीम्सना अभ्यागताचे प्रोफाईल तयार करायचे असते.

OpenID

विशिष्ट WeChat ऑफिशियल अकाउंटमधील विशिष्ट वापरकर्त्यासाठी एक अद्वितीय आयडेंटिफायर.

अभ्यागतांच्या वर्तनाचा आणि पुन्हा येणाऱ्या भेटींचा मागोवा घेण्यासाठी पोर्टल डेटाबेसमध्ये प्राथमिक की म्हणून वापरले जाते.

RADIUS CoA

Change of Authorisation. RFC 3576 मध्ये परिभाषित केलेली एक यंत्रणा जी सर्व्हरला सक्रिय सत्राची ऑथरायझेशन स्थिती बदलण्याची परवानगी देते.

यशस्वी WeChat प्रमाणीकरणानंतर वायरलेस कंट्रोलरला नेटवर्क ॲक्सेस मंजूर करण्यासाठी पोर्टल सर्व्हरद्वारे वापरले जाते.

PIPL

Personal Information Protection Law. चीनचा सर्वसमावेशक डेटा गोपनीयता नियम.

WeChat लॉगिन वापरून चिनी अभ्यागतांसाठी संमती फ्लो डिझाइन करताना GDPR सोबत याचाही विचार केला पाहिजे.

AppID and AppSecret

तुमचे ॲप्लिकेशन ओळखण्यासाठी आणि प्रमाणित करण्यासाठी WeChat द्वारे प्रदान केलेले क्रेडेंशियल्स.

AppSecret पोर्टल सर्व्हरवर सुरक्षितपणे राहिला पाहिजे आणि क्लायंट-साइड कोडमध्ये कधीही उघड केला जाऊ नये.

State Parameter

OAuth विनंतीमध्ये पाठवलेली आणि परत आल्यावर वैध ठरवली जाणारी एक क्रिप्टोग्राफिकली रँडम स्ट्रिंग.

Captive Portal वर Cross-Site Request Forgery (CSRF) हल्ले रोखण्यासाठी आवश्यक.

MAC Address Bypass

802.1X प्रमाणीकरणाची आवश्यकता न ठेवता डिव्हाइसच्या हार्डवेअर पत्त्याला ऑथराईज करून नेटवर्क ॲक्सेस मंजूर करण्याची एक पद्धत.

सोप्या नेटवर्क सेटअपसाठी RADIUS CoA ला एक पर्याय, जरी हा कमी सुरक्षित आहे.

सोडवलेली उदाहरणे

लंडनमधील एका लक्झरी रिटेल ब्रँडला चिनी ग्राहकांसाठी WeChat लॉगिन ऑफर करायचे आहे. त्यांना त्यांच्या ग्राहक वर्गाला समजून घेण्यासाठी डेमोग्राफिक डेटा गोळा करायचा आहे, परंतु त्यांना GDPR चे पालन आणि पोर्टलवरील उच्च ड्रॉप-ऑफ दरांबद्दल चिंता आहे.

रिटेलने WeChat ऑफिशियल अकाउंट्स प्लॅटफॉर्मवर सर्व्हिस अकाउंटची नोंदणी करावी. डेमोग्राफिक डेटा (टोपणनाव, लिंग, शहर) गोळा करण्यासाठी पहिल्यांदा कनेक्ट होणाऱ्या ग्राहकांसाठी त्यांनी snsapi_userinfo स्कोप वापरण्यासाठी पोर्टल कॉन्फिगर केले पाहिजे. GDPR चे पालन सुनिश्चित करण्यासाठी, पोर्टल पेजवर WeChat रिडायरेक्टपूर्वी एक स्पष्ट, सजग-निवडीचा ऑप्ट-इन पर्याय प्रदर्शित केला पाहिजे, ज्यामध्ये नक्की कोणता डेटा गोळा केला जातो आणि का, हे स्पष्ट केले पाहिजे. परत येणाऱ्या खरेदीदारांसाठी, पोर्टलने MAC ॲड्रेस ओळखला पाहिजे आणि कोणताही अडथळा न आणता मूक री-ऑथेंटिकेशनसाठी snsapi_base चा वापर केला पाहिजे.

परीक्षकाचे भाष्य: हा दृष्टिकोन डेटा संकलन आणि वापरकर्त्याचा अनुभव यामध्ये संतुलन राखतो. अधिक अडथळा आणणारा `snsapi_userinfo` फ्लो केवळ पहिल्या भेटीपुरता मर्यादित ठेवून आणि त्यानंतर `snsapi_base` वापरून, रिटेल डेटा मिनिमायझेशनच्या तत्त्वांचे पालन करत असतानाच कनव्हर्जन वाढवू शकते.

एका स्टेडियमने HPE Aruba कंट्रोलर्सचा वापर करून नवीन WiFi नेटवर्क तैनात केले आहे. त्यांनी WeChat OAuth कॉन्फिगर केले आहे आणि पोर्टलला यशस्वीरित्या ॲक्सेस टोकन मिळाले आहे, परंतु अभ्यागताचे डिव्हाइस Captive Portal पेजवरच राहते आणि इंटरनेट ॲक्सेस करू शकत नाही.

या इंटिग्रेशनमध्ये नेटवर्क अंमलबजावणी यंत्रणेची कमतरता आहे. पोर्टल सर्व्हरने WeChat कडे वापरकर्त्याची ओळख सत्यापित केली आहे, परंतु त्याने HPE Aruba कंट्रोलरला ॲक्सेस देण्याच्या सूचना दिलेल्या नाहीत. कंट्रोलरला RADIUS Change of Authorisation (CoA) संदेश पाठवण्यासाठी पोर्टल सर्व्हर कॉन्फिगर केला पाहिजे, ज्यायोगे वापरकर्त्याचा MAC ॲड्रेस प्री-ऑथेंटिकेशन रोलमधून ऑथेंटिकेटेड गेस्ट रोलमध्ये स्थानांतरित करण्याच्या सूचना कंट्रोलरला मिळतील.

परीक्षकाचे भाष्य: हे ओळख पडताळणी (identity verification) आणि नेटवर्क ॲक्सेस कंट्रोलमधील फरक अधोरेखित करते. वेब ॲप्लिकेशन (पोर्टल) आणि नेटवर्क इन्फ्रास्ट्रक्चरमधील दरी सांधण्यासाठी एंटरप्राइझ नेटवर्कला RADIUS CoA सारख्या प्रोटोकॉलची आवश्यकता असते.

सराव प्रश्न

Q1. तुम्ही एका रिटेल चेनमध्ये captive portal तैनात करत आहात. चाचणी दरम्यान असे दिसून आले की iOS वर Safari मध्ये पोर्टल उघडणारे वापरकर्ते WeChat लॉगिन निवडताना त्रुटी अनुभवतात, परंतु WeChat मेसेज लिंकवरून पोर्टल उघडणारे वापरकर्ते यशस्वीरित्या लॉग इन होतात. याचे संभाव्य कारण काय आहे?

टीप: WeChat इन-ॲप ब्राउझर आणि मानक मोबाईल ब्राउझरमधील फरकाचा विचार करा.

नमुना उत्तर पहा

ही अंमलबजावणी केवळ Official Accounts Platform वर नोंदणीकृत असलेल्या Service Account वर अवलंबून असण्याची शक्यता आहे, जे फक्त WeChat इन-ॲप ब्राउझरमध्ये OAuth ला समर्थन देते. iOS वर Safari ला समर्थन देण्यासाठी, तुम्ही WeChat Open Platform वर Website Application ची नोंदणी देखील केली पाहिजे आणि Safari वापरकर्त्यांना QR कोड फ्लोकडे वळवण्यासाठी युझर एजंट डिटेक्शन लागू केले पाहिजे.

Q2. ॲक्सेस टोकन एक्स्चेंज दरम्यान WeChat API कडून वारंवार 40029 'invalid code' त्रुटी येत असल्याचे तुमच्या पोर्टल सर्व्हर लॉग्जमध्ये दिसत आहे. तुम्ही आधी कोणते कॉन्फिगरेशन तपासले पाहिजे?

टीप: WeChat ऑथेंटिकेशन विनंतीच्या स्रोताची पडताळणी कशी करते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही redirect_uri कॉन्फिगरेशनची पडताळणी केली पाहिजे. WeChat डेव्हलपर कन्सोलमध्ये नोंदणीकृत असलेल्या अधिकृत डोमेनशी रिडायरेक्ट URI ची काटेकोरपणे पडताळणी करते. जर पोर्टल वेगळे सबडोमेन वापरत असेल किंवा त्यामध्ये HTTPS नसेल, तर WeChat कोड एक्स्चेंज नाकारेल.

Q3. एका व्हेन्यू ऑपरेटरला अभ्यागतांचा डेटा गोळा करायचा आहे परंतु लॉगिन प्रक्रियेदरम्यान कोणतीही अडचण नको आहे. संमती प्रॉम्ट न दाखवता अभ्यागताचे निकनेम आणि शहर गोळा करण्यासाठी WeChat लॉगिन कॉन्फिगर करण्याची विनंती ते तुम्हाला करतात. तुम्ही काय उत्तर द्याल?

टीप: विविध OAuth स्कोपच्या क्षमतेचे पुनरावलोकन करा.

नमुना उत्तर पहा

तुम्ही ऑपरेटरला कळवले पाहिजे की हे तांत्रिकदृष्ट्या अशक्य आहे. निकनेम आणि शहर यासारखा डेमोग्राफिक डेटा गोळा करण्यासाठी snsapi_userinfo स्कोपची आवश्यकता असते, ज्यामुळे WeChat संमती प्रॉम्ट अनिवार्यपणे ट्रिगर होतो. शून्य अडथळ्यांसह लॉगिन मिळवण्यासाठी, तुम्ही snsapi_base वापरणे आवश्यक आहे, जे बॅकग्राउंडमध्ये कार्य करते परंतु केवळ OpenID परत करते.

या मालिकेमध्ये पुढे वाचा

Ruijie साठी कॅप्टिव्ह पोर्टल: Purple अतिथी WiFi सह सेट अप करा

वेब ऑथेंटिकेशन आणि RADIUS चा वापर करून, कमांड लाइनवरून कॉन्फिगर केलेले Purple चे क्लाउड अतिथी WiFi, Ruijie RG Series ॲक्सेस पॉइंट्सवर कसे काम करते आणि अचूक सेटअप पायऱ्या कुठे शोधायच्या.

मार्गदर्शिका वाचा →

B2B Captive Portals डिझाइन करणे: नोंदणीकृत नाव आणि कंपनी डेटा गोळा करणे

हे मार्गदर्शक IT व्यवस्थापक आणि वेन्यू ऑपरेटर्सना B2B captive portals डिझाइन करण्यासाठी विक्रेता-तटस्थ तांत्रिक फ्रेमवर्क प्रदान करते. यामध्ये नोंदणीकृत नाव आणि कंपनी डेटा मिळवण्यासाठी नोंदणी फील्ड्सची रचना कशी करावी, GDPR चे पालन राखून आणि खाते-स्तरीय बुद्धिमत्ता तयार करून उच्च पूर्णत्व दर सुनिश्चित करणे याबद्दल सविस्तर माहिती दिली आहे.

मार्गदर्शिका वाचा →

कॅप्टिव्ह पोर्टल आर्किटेक्चर: सुरक्षा, रिडायरेक्शन आणि सर्वोत्तम पद्धती

एंटरप्राइझ कॅप्टिव्ह पोर्टल आर्किटेक्चरवरील एक निश्चित तांत्रिक संदर्भ. हे मार्गदर्शक सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करणाऱ्या IT नेत्यांसाठी नेटवर्क आयसोलेशन, DNS रिडायरेक्शन, RADIUS ऑथेंटिकेशन आणि सुरक्षा अनुपालन उलगडून दाखवते.

मार्गदर्शिका वाचा →