मुख्य मजकुराकडे जा

WeChat ऑथेंटिकेशन आणि Guest WiFi Captive Portals चे एकत्रीकरण

या मार्गदर्शकामध्ये WeChat OAuth 2.0 ऑथेंटिकेशन हे एंटरप्राइझ guest WiFi captive portals मध्ये कसे समाकलित करावे हे स्पष्ट केले आहे. यामध्ये ड्युअल-प्लॅटफॉर्म नोंदणी आवश्यकता, फर्स्ट-पार्टी डेटा कॅप्चरसाठी स्कोप निवड, RADIUS Change of Authorization द्वारे नेटवर्क अंमलबजावणी आणि GDPR आणि चीनच्या PIPL चे पालन या गोष्टी समाविष्ट आहेत. हॉस्पिटॅलिटी, रिटेल आणि इव्हेंटमधील वेन्यू ऑपरेटर्सना मोठ्या प्रमाणावर WeChat लॉगइन guest WiFi तैनात करण्यासाठी ठोस अंमलबजावणी पायऱ्या, प्रत्यक्ष केस स्टडीज आणि सुरक्षा मजबूत करण्याचे मार्गदर्शन मिळेल.

📖 8 मिनिट वाचन📝 1,966 शब्द🔧 2 सोडवलेली उदाहरणे4 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
CAPTIVE PORTALS साठी WECHAT OAUTH ऑथेंटिकेशन कसे कॉन्फिगर करावे एक Purple तांत्रिक माहितीपत्रक - अंदाजे १० मिनिटे --- प्रस्तावना आणि संदर्भ (अंदाजे १ मिनिट) स्वागत आहे. जर आपण चायनीज पर्यटकांना सेवा देणाऱ्या हॉटेल, रिटेल चेन, स्टेडियम किंवा कॉन्फरन्स सेंटरमधील गेस्ट WiFi चे जबाबदार असाल, तर हे माहितीपत्रक आपल्यासाठी आहे. Tencent च्या २०२४ च्या डेटा नुसार, WeChat चे १.३८ अब्ज मासिक सक्रिय युजर्स आहेत. यातील बहुतांश युजर्स चीनमध्ये आहेत, परंतु प्लॅटफॉर्मचा आंतरराष्ट्रीय स्तरावरही लक्षणीय प्रभाव आहे - युनायटेड स्टेट्समध्ये ४० लाख युजर्स, मलेशियामध्ये १.२ कोटी आणि संपूर्ण आग्नेय आशिया, युरोप आणि Middle East मध्ये ही संख्या वाढत आहे. जेव्हा एखादा चायनीज पाहुणा तुमच्या WiFi ला कनेक्ट करतो आणि त्याला केवळ ईमेल, Facebook किंवा व्हाउचर कोड असलेला लॉगिन पेज दिसतो, तेव्हा त्यांना अडथळा येतो. त्यांच्या त्या डिव्हाइसवर स्थानिक ईमेल ॲड्रेस सेट केलेला नसू शकतो. परंतु त्यांच्याकडे WeChat नक्कीच असते. त्यामुळे प्रश्न हा नाही की तुम्ही WeChat लॉगिन ऑफर केले पाहिजे की नाही - तर प्रश्न हा आहे की तुम्ही ते योग्य, सुरक्षितपणे आणि अशा प्रकारे कसे कॉन्फिगर करता ज्यामुळे तुम्हाला प्रत्यक्षात वापरता येईल असा फर्स्ट-पार्टी डेटा मिळेल. आज आपण याच विषयावर चर्चा करणार आहोत. आपण OAuth 2.0 फ्लो, आवश्यक असणारी दोन प्लॅटफॉर्म रजिस्ट्रेशन्स, तुम्ही कोणता डेटा गोळा करता हे ठरवणारा स्कोप निर्णय, नेटवर्क-साइड एन्फोर्समेंट मेकॅनिझम आणि २०२६ मध्ये महत्त्वाच्या असणाऱ्या अनुपालन (compliance) बाबी समजून घेणार आहोत. --- तांत्रिक सखोल माहिती (अंदाजे ५ मिनिटे) चला आर्किटेक्चरपासून सुरुवात करूया. एक Captive Portal अन-ऑथेंटिकेटेड डिव्हाइसवरून येणारे HTTP ट्रॅफिक इंटरसेप्ट करतो आणि त्याला लॉगिन पेजवर रिडायरेक्ट करतो. ते लॉगिन पेज पोर्टल सर्व्हरवर होस्ट केलेले असते - एकतर ऑन-प्रिमायसेस किंवा क्लाउडमध्ये. जेव्हा तुम्ही WeChat OAuth जोडता, तेव्हा तुम्ही त्या फ्लोमध्ये थर्ड-पार्टी आयडेंटिटी प्रोव्हाइडर समाविष्ट करत असता. याचा क्रम खालीलप्रमाणे आहे. गेस्ट तुमच्या SSID शी कनेक्ट होतो. ॲक्सेस पॉइंट किंवा वायरलेस कंट्रोलर हे शोधून काढतो की डिव्हाइसचे कोणतेही ऑथेंटिकेटेड सेशन नाही आणि सर्व HTTP ट्रॅफिक तुमच्या Captive Portal URL कडे रिडायरेक्ट करतो. पोर्टल पेज लोड होते आणि लॉगिनचे पर्याय दर्शवते - ज्यामध्ये WeChat समाविष्ट असते. गेस्ट WeChat लॉगिनवर टॅप करतो. तुमचा पोर्टल सर्व्हर ब्राउझरला WeChat च्या ऑथरायझेशन एंडपॉइंटवर रिडायरेक्ट करतो, ज्यामध्ये तुमचा App ID, रिडायरेक्ट URI, कोडचा रिस्पॉन्स टाईप आणि स्कोप पाठवला जातो. WeChat ऑथेंटिकेशनची संपूर्ण प्रक्रिया स्वतःच्या सर्व्हरवर हाताळते. जर गेस्ट आधीच त्यांच्या ब्राउझरमध्ये WeChat मध्ये लॉग इन असेल, तर त्यांना संमती स्क्रीन दिसते. जर ते WeChat इन-ॲप ब्राउझर वापरत असतील, तर snsapi बेस स्कोपसह हा अनुभव कोणताही संमतीचा प्रॉम्ट न दाखवता शांतपणे पूर्ण होऊ शकतो. त्यानंतर WeChat तात्पुरत्या ऑथरायझेशन कोडसह तुमच्या पोर्टलच्या रिडायरेक्ट URI कडे रिडायरेक्ट करते. तुमचा पोर्टल सर्व्हर तो कोड ॲक्सेस टोकनसाठी एक्सचेंज करतो, ज्यासाठी तुमचा App ID, App Secret, कोड आणि ऑथरायझेशन कोडचा ग्रँट टाईप पाठवला जातो. WeChat एक ॲक्सेस टोकन, रिफ्रेश टोकन, युझरचा Open ID आणि मंजूर केलेला स्कोप परत पाठवते. जर तुम्ही snsapi userinfo स्कोपची विनंती केली असेल, तर तुम्ही युझरचे टोपणनाव (nickname), अवतार, लिंग आणि शहर मिळवण्यासाठी दुसरी API कॉल करू शकता.आता, दोन प्लॅटफॉर्म नोंदणी बद्दल पाहूया. येथेच बहुतेक अंमलबजावणीमध्ये चुका होतात. WeChat कडे दोन स्वतंत्र डेव्हलपर प्लॅटफॉर्म आहेत. WeChat Open Platform वेबसाइट ॲप्लिकेशन्स आणि मोबाईल ॲप्स हाताळते. WeChat Official Accounts Platform पब्लिक अकाउंट्स हाताळते - जे बहुतेक वेन्यूजना प्रत्यक्षात हवे असते. WeChat इन-ॲप ब्राउझरमधील पाहुण्यांना सेवा देणाऱ्या Captive Portal साठी, तुम्हाला Official Accounts Platform वर Service Account ची आवश्यकता आहे. Subscription Account काम करणार नाही - कारण त्यामध्ये OAuth वेब पेज ऑथरायझेशन परवानग्या नसतात. Service Account मध्ये या परवानग्या असतात आणि ते snsapi base आणि snsapi userinfo या दोन्ही स्कोप्सना सपोर्ट करते. WeChat च्या बाहेरील स्टँडर्ड मोबाईल ब्राउझरवरून - Android वर Chrome, iOS वर Safari वरून ॲक्सेस केलेल्या Captive Portal साठी, तुम्हाला Open Platform वर वेबसाइट ॲप्लिकेशन नोंदणीकृत करणे आवश्यक आहे. हे snsapi login स्कोप वापरते आणि एक QR कोड दाखवते जो युझर त्यांच्या WeChat ॲपने स्कॅन करतो. प्रत्यक्षात, बहुतेक वेन्यू ऑपरेशन्समध्ये दोन्ही वापरले जातात. हॉटेलच्या WiFi वरील एखादा पाहुणा Chrome मध्ये पोर्टल उघडू शकतो, QR कोड पाहू शकतो, तो WeChat ने स्कॅन करू शकतो आणि ऑथेंटिकेट करू शकतो. किंवा ते WeChat मधीलच एका लिंकवर क्लिक करू शकतात, इन-ॲप ब्राउझरमध्ये येऊ शकतात आणि snsapi base द्वारे सायलेंटली ऑथेंटिकेट करू शकतात. आता स्कोप निवडीबद्दल बोलूया, कारण हा एक खरा निर्णय घेण्याचा मुद्दा आहे. snsapi base फक्त Open ID रिटर्न करते - तुमच्या Official Account मधील त्या युझरसाठी एक युनिक आयडेंटिफायर. यासाठी कोणत्याही युझर संमतीची (consent) आवश्यकता नसते. हे ऑथेंटिकेशन युझरला दिसत नाही. तुम्ही आधीच प्रोफाइल तयार केलेल्या किंवा शून्य अडथळ्यांचा अनुभव देऊ इच्छित असलेल्या वेन्यूजसाठी हे अगदी योग्य आहे. snsapi userinfo हे Open ID सोबतच युझरचे WeChat टोपणनाव, प्रोफाइल फोटो, लिंग, भाषा सेटिंग आणि शहर रिटर्न करते. यासाठी स्पष्ट संमती स्क्रीन आवश्यक असते. बहुतेक युझर्स हे स्वीकारतात, पण यामध्ये थोडे अडथळे येतात. योग्य पर्याय तुमच्या वापरण्याच्या पद्धतीवर अवलंबून असतो. पहिल्यांदा नोंदणी करणाऱ्या पाहुण्यासाठी जिथे तुम्हाला प्रोफाइल तयार करायचे आहे, तिथे snsapi userinfo वापरा आणि ते तुमच्या पोर्टल पेजवरील GDPR सुसंगत संमती लेयरसह जोडा. आधीच संमती दिलेल्या आणि ज्यांचे प्रोफाइल तुमच्याकडे आधीपासूनच आहे अशा परत येणाऱ्या पाहुण्यासाठी, सायलेंट रि-ऑथेंटिकेशनसाठी snsapi base वापरा. आता, नेटवर्क एन्फोर्समेंट बाजू पाहूया. OAuth टोकन मिळवणे ओळख सिद्ध करते, परंतु ते आपोआप नेटवर्क सुरू करत नाही. यशस्वी ऑथेंटिकेशनला नेटवर्क ॲक्सेसमध्ये बदलण्यासाठी तुम्हाला एका मेकॅनिझमची आवश्यकता आहे. यामधील दोन मानक पद्धती म्हणजे RADIUS Change of Authorisation, जे RFC 3576 मध्ये परिभाषित केले आहे, आणि MAC ॲड्रेस बायपास. RADIUS CoA सह, यशस्वी OAuth नंतर तुमचे पोर्टल सर्व्हर नेटवर्क कंट्रोलरला CoA रिक्वेस्ट पाठवते, आणि कंट्रोलर डिव्हाइसला अन-ऑथेंटिकेटेड VLAN मधून गेस्ट VLAN मध्ये हलवतो. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist आणि बहुतेक एंटरप्राइझ-ग्रेड कंट्रोलर्ससह काम करते. MAC बायपाससह, पोर्टल सर्व्हर डिव्हाइसच्या MAC ॲड्रेसची ऑथराइज्ड क्लायंट म्हणून नोंदणी करतो आणि कंट्रोलर त्याला परवानगी देतो. MAC बायपासची अंमलबजावणी करणे सोपे आहे परंतु ते कमी सुरक्षित आहे, कारण MAC ॲड्रेस स्पूफ केले जाऊ शकतात.Purple चे Guest WiFi प्लॅटफॉर्म या दोन्ही यंत्रणा हाताळते. WeChat OAuth पूर्ण झाल्यानंतर, Purple चे क्लाउड ओव्हरले संबंधित हार्डवेअरला - मग ते Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks, किंवा Fortinet असो - योग्य सिग्नल पाठवते. वेन्यू ऑपरेटरला ते भाषांतर मॅन्युअली व्यवस्थापित करण्याची आवश्यकता नाही. --- अमलबजावणीच्या शिफारसी आणि संभाव्य अडचणी (अंदाजे 2 मिनिटे) WeChat OAuth captive portal अमलबजावणी अयशस्वी होण्याची पाच मुख्य कारणे मी तुम्हाला सांगतो. पहिले: redirect URI विसंगती. WeChat तुम्ही प्लॅटफॉर्मवर नोंदणीकृत केलेल्या अधिकृत डोमेनच्या विरूद्ध redirect URI प्रमाणित करते. जर तुमचे पोर्टल सर्व्हर वेगळे सबडोमेन, वेगळा पाथ किंवा HTTPS ऐवजी HTTP वापरत असेल, तर OAuth फ्लो एरर 40029 - अवैध कोडसह अयशस्वी होतो. तुम्ही वापरत असलेल्या प्रत्येक डोमेन व्हेरिएंटची नोंदणी करा, ज्यामध्ये स्टेजिंग एन्व्हायरमेंट समाविष्ट आहेत. दुसरे: क्लायंट-साइडवरील App Secret. तुमचे App Secret कधीही क्लायंट-साइड JavaScript मध्ये दिसू नये. ते तुमच्या सर्व्हरवर असणे आवश्यक आहे. ते उघड झाल्यास, कोणीही तुमच्या ॲप्लिकेशनचे सोंग घेऊ शकते आणि तुमच्या वतीने WeChat च्या API ला कॉल करू शकते. तिसरे: गहाळ CSRF संरक्षण. OAuth रिक्वेस्टमधील स्टेट पॅरामीटर विशेषतः क्रॉस-साइट रिक्वेस्ट फॉर्जरी रोखण्यासाठी असतो. क्रिप्टोग्राफिकली रँडम स्टेट व्हॅल्यू तयार करा, ती वापरकर्त्याच्या सेशनमध्ये स्टोअर करा आणि WeChat पुन्हा रिडायरेक्ट करतो तेव्हा तिचे प्रमाणीकरण करा. हे वगळल्यास तुमची सुरक्षितता धोक्यात येऊ शकते. चौथे: इन-ॲप ब्राउझर डिटेक्शन गॅप. WeChat चे इन-ॲप ब्राउझर एक विशिष्ट युझर एजंट स्ट्रिंग सेट करते ज्यामध्ये MicroMessenger समाविष्ट असते. जर तुमचे पोर्टल हे शोधू शकले नाही आणि योग्य OAuth फ्लो देऊ शकले नाही, तर वापरकर्त्यांना खराब अनुभव येतो किंवा एरर येते. पाचवे: GDPR आणि PIPL सुसंगतता. जर तुम्ही युरोपियन अभ्यागतांना सेवा देत असाल, तर GDPR लागू होतो. जर तुम्ही चीनी अभ्यागतांना सेवा देत असाल, तर चीनचा Personal Information Protection Law - PIPL - लागू होतो. दोन्हीसाठी प्रक्रियेचा कायदेशीर आधार, स्पष्ट उद्देश मर्यादा आणि डेटा मिनिमायझेशन आवश्यक आहे. snsapi base चे समर्थन करणे डेटा मिनिमायझेशन तत्त्वांतर्गत snsapi userinfo पेक्षा सोपे आहे. तुम्ही जे काही गोळा करता, तुमचा कायदेशीर आधार आणि तुमचा डेटा ठेवण्याचा कालावधी दस्तऐवजीकरण करून ठेवा. --- रॅपिड-फायर प्रश्न आणि उत्तरे (अंदाजे 1 मिनिट) मी अशा पोर्टलवर WeChat लॉगिन वापरू शकतो का जे ईमेल आणि SMS लॉगिन देखील ऑफर करते? होय. Purple सह बहुतांश एंटरप्राइझ पोर्टल प्लॅटफॉर्म्स एकाच पोर्टल पेजवर एकाधिक प्रमाणीकरण पद्धतींना सपोर्ट करतात. WeChat OAuth iOS वर काम करते का? होय. iOS वरील Safari मधील WeChat लॉगिन QR कोड फ्लो किंवा रिडायरेक्ट फ्लोद्वारे काम करते. WeChat ॲप स्वतः प्रमाणीकरण हाताळते. WeChat चे API उपलब्ध नसल्यास काय होईल? फॉलबॅक लागू करा. जर WeChat API कॉलची वेळ संपली किंवा एरर आली, तर वापरकर्त्याला पर्यायी लॉगिन पद्धतीवर रिडायरेक्ट करा. मी Open ID चा वापर कायमस्वरूपी ग्राहक ओळखकर्ता म्हणून करू शकतो का? तुमच्या अधिकृत खात्यामध्ये, होय. एकाधिक प्रॉपर्टीजमधील क्रॉस-अकाउंट ओळख रिझोल्यूशनसाठी, त्याऐवजी UnionID वापरा. --- सारांश आणि पुढील पायऱ्या (अंदाजे 1 मिनिट) थोडक्यात सांगायचे तर. captive portals साठी WeChat OAuth ऑथेंटिकेशन म्हणजे दोन-प्लॅटफॉर्मवरील नोंदणी प्रक्रिया, स्कोपचा निर्णय, नेटवर्क अंमलबजावणीचे एकत्रीकरण आणि अनुपालन पुनरावलोकन आहे. या चार गोष्टी व्यवस्थित करा आणि तुमच्याकडे एक अशी लॉगिन पद्धत असेल जी कोणत्याही पासवर्डच्या त्रासाशिवाय एक अब्जाहून अधिक संभाव्य अभ्यागतांना सेवा देते. पुढील व्यावहारिक पायऱ्या: तुमचे अभ्यागत WeChat इन-अॅप ब्राउझरमध्ये किंवा मानक मोबाइल ब्राउझरमध्ये पोर्टलवर येतात की नाही हे निश्चित करा. स्कोप ठरवा - परत येणाऱ्या पाहुण्यांसाठी snsapi base, संमतीसह पहिल्यांदा नोंदणी करण्यासाठी snsapi userinfo. तुमचे नेटवर्क हार्डवेअर RADIUS CoA ला सपोर्ट करत असल्याची खात्री करा. GDPR आणि PIPL नुसार तुमच्या गोपनीयता सूचनेचे पुनरावलोकन करा. थेट लाइव्ह जाण्यापूर्वी रिडायरेक्ट URI, स्टेट पॅरामीटर व्हॅलिडेशन आणि इन-अॅप ब्राउझर डिटेक्शनची चाचणी घ्या. Purple एका व्यापक Guest WiFi आणि विश्लेषण प्लॅटफॉर्मचा भाग म्हणून WeChat OAuth कसे हाताळते - २०२४ मध्ये ८०,००० ठिकाणांवर आणि ४४ कोटी लॉगिनवर - हे पाहण्यासाठी purple.ai ला भेट द्या किंवा तुमच्या अकाउंट टीमशी संपर्क साधा. ऐकल्याबद्दल धन्यवाद. --- स्क्रिप्ट समाप्त

header_image.png

सारांश

जेव्हा एखादा चीनी अभ्यागत तुमच्या कॉर्पोरेट नेटवर्कशी कनेक्ट होतो आणि त्याला केवळ ईमेल, Facebook किंवा क्रेडेंशियल कोड ऑफर करणारे Captive Portal दिसते, तेव्हा अडथळा निर्माण होतो. Tencent च्या २०२४ च्या डेटाच्या मते, WeChat कडे १.३८ अब्ज मासिक सक्रिय वापरकर्ते आहेत. अतिथी WiFi सह WeChat लॉगिन समाकलित करणे ही केवळ आदरातिथ्य सुविधा नाही; तर या लोकसंख्येचा फर्स्ट-पार्टी डेटा विनाअडथळा गोळा करण्यासाठी ही एक तांत्रिक आवश्यकता आहे.

हे मार्गदर्शक WeChat OAuth 2.0 ऑथेंटिकेशनला captive portals सोबत समाकलित करण्याच्या तांत्रिक आर्किटेक्चरचे तपशील देते. हे WeChat इन-अॅप ब्राउझरसह मानक मोबाईल ब्राउझरला सपोर्ट करण्यासाठी आवश्यक असलेले ड्युअल-प्लॅटफॉर्म रजिस्ट्रेशन स्पष्ट करते, डेटा संकलनासाठी snsapi_base आणि snsapi_userinfo स्कोपमधील तडजोड आणि मूल्यमापन करते आणि RADIUS Change of Authorization (CoA) किंवा MAC Authentication Bypass चा वापर करून नेटवर्क ॲक्सेस कसा लागू केला जातो याचे वर्णन करते. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet इन्फ्रास्ट्रक्चरवर मोठ्या प्रमाणात डिप्लॉयमेंट करण्यासाठी आवश्यक असणारी सुरक्षा कॉन्फिगरेशन्स आणि अनुपालन निर्देश - GDPR आणि चीनचा Personal Information Protection Law (PIPL) - देखील कव्हर करते.


तांत्रिक सखोल माहिती: WeChat OAuth 2.0 आर्किटेक्चर

एक Captive Portal अनऑथेंटिकेटेड डिव्हाइसेसवरील HTTP ट्रॅफिकला अडवते आणि त्यांना पोर्टल सर्व्हरवर होस्ट केलेल्या लँडिंग पेजवर रिडायरेक्ट करते. WeChat ऑथेंटिकेशन जोडल्याने या फ्लोमध्ये OAuth 2.0 प्रोटोकॉलचा वापर करून थर्ड-पार्टी आयडेंटिटी प्रोव्हाइडर समाविष्ट होतो, हा तोच मानक प्रोटोकॉल आहे जो Google, Microsoft Entra ID आणि Okta द्वारे फेडरेटेड आयडेंटिटीसाठी वापरला जातो.

oauth_flow_diagram.png

अथेंटिकेशन फ्लो खालीलप्रमाणे काम करतो: एक व्हिजिटर SSID शी कनेक्ट होतो. ॲक्सेस पॉइंट किंवा वायरलेस कंट्रोलर न-ऑथेंटिकेट केलेले सेशन शोधून काढतो आणि HTTP ट्रॅफिकला Captive Portal URL कडे रीडायरेक्ट करतो. व्हिजिटर Portal पेजवर WeChat लॉगिन निवडतो. Portal सर्व्हर ब्राऊझरला open.weixin.qq.com येथील WeChat ऑथरायझेशन एंडपॉईंटवर रीडायरेक्ट करतो, ज्यामध्ये AppID, रीडायरेक्ट URI, code चा रिस्पॉन्स टाईप आणि विनंती केलेली Scope पाठवली जाते. WeChat स्वतःच्या सर्व्हरवर ऑथेंटिकेशन हाताळते. जर व्हिजिटर WeChat च्या बिल्ट-इन ब्राऊझरमध्ये snsapi_base Scope वापरत असेल, तर ऑथेंटिकेशन सायलेंट असते - कोणताही ऑथरायझेशन संमतीचा प्रॉम्ट दिसत नाही. जर snsapi_userinfo वापरले असेल, तर WeChat एक ऑथरायझेशन संमती पेज दाखवते. त्यानंतर WeChat एका तात्पुरत्या ऑथरायझेशन कोडसह पुन्हा Portal च्या रीडायरेक्ट URI कडे रीडायरेक्ट करते. Portal सर्व्हर AppID, AppSecret, कोड आणि authorization_code च्या ग्रँट टाईपसह api.weixin.qq.com/sns/oauth2/access_token वर API कॉल करून या कोडच्या बदल्यात Access Token मिळवतो. WeChat कडून Access Token, Refresh Token, युझरचा OpenID आणि मंजूर केलेली Scope परत मिळते. जर snsapi_userinfo मंजूर झाली असेल, तर सर्व्हर युझरचे टोपणनाव, प्रोफाईल पिक्चर, लिंग आणि शहर मिळवण्यासाठी दुसरा API कॉल सुरू करतो.

Dual-Platform Registration Requirements

बहुतेक अंमलबजावणी नोंदणीच्या टप्प्यावरच अयशस्वी ठरतात. WeChat दोन स्वतंत्र डेव्हलपर प्लॅटफॉर्म चालवते, आणि एंटरप्राइझ डिप्लॉयमेंटसाठी सहसा दोन्हीची आवश्यकता असते.

प्लॅटफॉर्म URL आवश्यक खाते प्रकार सपोर्टेड Scopes ब्राऊझर एन्व्हायर्नमेंट
Official Accounts Platform mp.weixin.qq.com Service Account snsapi_base, snsapi_userinfo WeChat इन-ॲप ब्राऊझर
Open Platform open.weixin.qq.com Web Application snsapi_login स्टँडर्ड मोबाईल ब्राऊझर

WeChat च्या इन-ॲप ब्राऊझरमध्ये Portal वापरणाऱ्या व्हिजिटर्ससाठी, तुम्हाला Official Accounts Platform वर Service Account आवश्यक आहे. सबस्क्रिप्शन खाती चालणार नाहीत - त्यांच्याकडे OAuth वेबपेज ऑथरायझेशन परवानग्या नसतात. Android वरील Chrome किंवा iOS वरील Safari वरून Portal वापरणाऱ्या व्हिजिटर्ससाठी, तुम्हाला Open Platform वर Web Application आवश्यक आहे, जे snsapi_login Scope वापरते आणि युझरला स्कॅन करण्यासाठी QR कोड दाखवते.

व्यवहारात, बहुतेक ठिकाणी दोन्ही वापरले जातात. हॉटेलमधील एखादा पाहुणा कदाचित Chrome मध्ये Portal उघडू शकतो, त्याला QR कोड दिसू शकतो, तो WeChat ने तो स्कॅन करू शकतो आणि ऑथेंटिकेट करू शकतो. किंवा ते थेट WeChat मध्ये एखाद्या लिंकवर टॅप करू शकतात, इन-ॲप ब्राऊझरमध्ये जाऊ शकतात आणि snsapi_base द्वारे सायलेंटली ऑथेंटिकेट करू शकतात.

Scope Selection: Data Harvesting vs. User Friction

scope_comparison.png

तुम्ही विनंती करत असलेली scope तुम्ही गोळा करत असलेला डेटा आणि व्हिजिटरला येणाऱ्या अडचणी ठरवते. हा नियम अनुपालनाशी संबंधित असणारा एक व्यावहारिक निर्णय आहे.

snsapi_base फक्त OpenID रिटर्न करते — तुमच्या Official Account अंतर्गत त्या युझरसाठीचा युनिक आयडेंटिफायर. यासाठी युझरच्या संमतीच्या प्रॉम्प्टची गरज नसते. व्हिजिटरसाठी ऑथेंटिकेशन शांतपणे (silent) होते. हे अशा परत येणाऱ्या व्हिजिटर्ससाठी आदर्श आहे ज्यांचे प्रोफाईल तुमच्याकडे आधीपासूनच आहेत, किंवा जेव्हा तुम्ही विनाव्यत्यय ॲक्सेसला प्राधान्य देता. GDPR आणि PIPL डेटा मिनिमायझेशन तत्त्वांनुसार, snsapi_base चे समर्थन करणे खूप सोपे आहे.

snsapi_userinfo OpenID सोबत युझरचे निकनेम, प्रोफाईल पिक्चर, जेंडर (लिंग) आणि शहर रिटर्न करते. यासाठी स्पष्ट ऑथरायझेशन संमती पेज आवश्यक असते. हे पहिल्यांदा येणाऱ्या व्हिजिटरच्या नोंदणीसाठी आदर्श आहे जिथे तुम्हाला प्रोफाईल तयार करायचे असते, जे तुमच्या Portal पेजवरील सुसंगत संमती ओव्हरलेशी जोडलेले असते.

मल्टि-साईट डिप्लोयमेंट्ससाठी UnionID

OpenID हा युझर आणि विशिष्ट Official Account च्या कॉम्बिनेशनसाठी युनिक असतो. २० प्रॉपर्टीज असणारा एक हॉटेल ग्रुप, ज्यातील प्रत्येक प्रॉपर्टी स्वतःचे Official Account चालवत आहे, त्याला एकाच व्हिजिटरसाठी २० वेगवेगळे OpenIDs दिसतील. UnionID या समस्येचे निराकरण करतो. हा एकच आयडेंटिफायर आहे जो एकाच Open Platform अकाउंट अंतर्गत लिंक केलेल्या सर्व Official Accounts आणि ॲप्लिकेशन्सवर युझरचे प्रतिनिधित्व करतो. तुमचे Official Accounts तुमच्या Open Platform अकाउंटशी लिंक करा आणि OAuth रिस्पॉन्समध्ये UnionID रिटर्न केला जाईल. क्रॉस-साईट व्हिजिटर ओळखीसाठी हा पाया आहे.


अंमलबजावणी मार्गदर्शक (Implementation Guide)

नेटवर्क एन्फोर्समेंट मेकॅनिझम्स

फक्त OAuth टोकन मिळवणे ओळख सिद्ध करते; यामुळे नेटवर्क सुरू होत नाही. ट्रॅफिकला परवानगी देण्यासाठी तुम्ही कंट्रोलरला सिग्नल देणे आवश्यक आहे.

RADIUS Change of Authorization (CoA) (RFC 3576 मध्ये परिभाषित) ही शिफारस केलेली एंटरप्राइझ-ग्रेड पद्धत आहे. यशस्वी OAuth व्हॅलिडेशननंतर, Portal सर्व्हर नेटवर्क कंट्रोलरला CoA रिक्वेस्ट पाठवतो. कंट्रोलर डिव्हाइसला प्री-ऑथेंटिकेशन VLAN मधून गेस्ट VLAN मध्ये हलवतो. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet ला लागू होते.

MAC Authentication Bypass (MAB) डिव्हाइसचा MAC ॲड्रेस RADIUS डेटाबेसमध्ये ऑथराईज्ड क्लायंट म्हणून नोंदणीकृत करते. कंट्रोलर या MAC वर आधारित ॲक्सेसला परवानगी देतो. MAB ची अंमलबजावणी करणे सोपे आहे परंतु ते कमी विश्वासार्ह आहे: आधुनिक iOS आणि Android डिव्हाइसेस डीफॉल्टनुसार MAC ॲड्रेसेस रँडमाईज करतात, ज्यामुळे पुन्हा कनेक्ट करताना सेशन असोसिएशन खंडित होते.

Purple चे Guest WiFi प्लॅटफॉर्म हे ट्रान्झिशन स्वयंचलित करते. एकदा WeChat OAuth पूर्ण झाले की, Purple चे क्लाउड ओव्हरले नेटवर्क संबंधित हार्डवेअरला योग्य CoA किंवा MAB सिग्नल पाठवते, ज्यामुळे मॅन्युअल VLAN कॉन्फिगरेशनचा त्रास दूर होतो.

सिक्युरिटी कॉन्फिगरेशन

खालील तीन कॉन्फिगरेशन महत्त्वाचे आहेत.

  1. AppSecret सुरक्षित ठेवा. AppSecret कधीही क्लायंट-साइड JavaScript मध्ये दिसू नये. तो तुमच्या सर्व्हरवरच राहिला पाहिजे. तडजोड झाल्यास, हल्लेखोर तुमच्या ॲप्लिकेशनचे सोंग घेऊ शकतात आणि तुमच्या वतीने WeChat API कॉल करू शकतात.
  2. CSRF प्रोटेक्शन लागू करा. क्रिप्टोग्राफिकरित्या रँडम state व्हॅल्यू जनरेट करा, ती युझर सेशनमध्ये स्टोअर करा आणि WeChat रिडायरेक्ट परत आल्यावर ती व्हॅलिडेट करा. हे RFC 6749 मध्ये परिभाषित केल्यानुसार क्रॉस-साईट रिक्वेस्ट फॉर्जरी हल्ल्यांना प्रतिबंधित करते.
  3. सर्व Redirect URI व्हेरिएशन्स रजिस्टर करा. WeChat तुमच्या नोंदणीकृत डोमेनच्या विरूद्ध redirect URI प्रमाणित करते. 40029 एरर (invalid code) टाळण्यासाठी तुम्ही वापरत असलेले प्रत्येक सबडोमेन आणि पाथ व्हेरिएंट (स्टेजिंग एन्व्हायर्नमेंटसह) रजिस्टर करा.

इन-अ‍ॅप ब्राउझर शोधणे (In-App Browser Detection)

WeChat चा इन-अ‍ॅप ब्राउझर एक युझर-एजंट स्ट्रिंग सेट करतो ज्यामध्ये MicroMessenger समाविष्ट असते. तुमच्या Captive Portal ने ही स्ट्रिंग शोधली पाहिजे आणि त्यानुसार मार्ग निर्देशित केला पाहिजे: इन-अ‍ॅप ब्राउझर Official Account फ्लो वापरतो, तर मानक ब्राउझर Open Platform QR कोड फ्लो वापरतात. ही स्ट्रिंग शोधण्यात अयशस्वी ठरल्यास खराब अनुभव किंवा ऑथेंटिकेशन एरर येऊ शकतात.

hotel_wechat_wifi.png


सर्वोत्तम पद्धती आणि अनुपालन (Best Practices and Compliance)

GDPR अनुपालन

तुम्ही युरोपियन अभ्यागतांना सेवा देत असल्यास किंवा युरोपमध्ये कार्यरत असल्यास, WeChat OAuth द्वारे तुम्ही गोळा करत असलेल्या डेटावर GDPR लागू होतो. तुम्ही एक सुसंगत प्रक्रिया आधार स्थापित केला पाहिजे - सामान्यतः संमती किंवा कायदेशीर स्वारस्य. ऑथेंटिकेशन होण्यापूर्वी, तुम्ही Captive Portal वर स्पष्ट गोपनीयता सूचना दिली पाहिजे. तुम्ही विषय प्रवेश विनंत्या (subject access requests) आणि हटवण्याच्या विनंत्यांना प्रतिसाद दिला पाहिजे. तपशीलवार अनुपालन फ्रेमवर्कसाठी, Compliance Playbook: GDPR and Guest WiFi Data Privacy पहा.

PIPL अनुपालन

जेव्हा तुम्ही चीनी नागरिकांचा वैयक्तिक डेटा हाताळता, तेव्हा चीनी वैयक्तिक माहिती संरक्षण कायदा (PIPL) लागू होतो. GDPR प्रमाणेच, PIPL साठी स्पष्ट उद्देश मर्यादा, डेटा मिनिमायझेशन आणि लिखित कायदेशीर आधार आवश्यक आहे. डेटा मिनिमायझेशनच्या तत्त्वांतर्गत, snsapi_userinfo पेक्षा snsapi_base चे समर्थन करणे खूप सोपे आहे. तुम्ही जो काही डेटा गोळा कराल, लाइव्ह जाण्यापूर्वी तुमचा कायदेशीर आधार आणि धारणा कालावधी (retention periods) दस्तऐवजीकरण करा.

नेटवर्क आयसोलेशन (Network Isolation)

कॉर्पोरेट नेटवर्कपासून गेस्ट WiFi ट्रॅफिक वेगळे करण्यासाठी VLAN सेगमेंटेशन वापरा. WeChat द्वारे ऑथेंटिकेट केलेल्या पाहुण्यांना समर्पित गेस्ट VLAN वर ठेवले पाहिजे ज्यामध्ये फक्त इंटरनेटचा अ‍ॅक्सेस असेल - अंतर्गत सिस्टमचा अ‍ॅक्सेस नसेल. हे कार्डहोल्डर डेटा एन्व्हायर्नमेंट आयसोलेशन आणि सामान्य कॉर्पोरेट सुरक्षा पद्धतींसाठी PCI-DSS आवश्यकतांशी सुसंगत आहे. आयसोलेशन आर्किटेक्चरबद्दल अधिक माहितीसाठी, Bandwidth Management: A Practical Guide for 2026 पहा.

फॉलबॅक ऑथेंटिकेशन

WeChat चा API अनुपलब्ध असल्यास, तुमच्या पोर्टलने पर्यायी लॉगिन पद्धतीवर रिडायरेक्ट केले पाहिजे. पाहुण्यांना रिकाम्या स्क्रीनकडे पाहत सोडू नका. ईमेल किंवा SMS फॉलबॅक प्रदान केल्याने सातत्य सुनिश्चित होते. हे विशेषतः Transport आणि Healthcare एन्व्हायर्नमेंट्समध्ये अत्यंत महत्त्वाचे आहे, जेथे नेटवर्क कनेक्टिव्हिटी हे सेवा बंधन आहे.


वास्तविक जगातील केस स्टडीज

हॉस्पिटॅलिटी: लक्झरी हॉटेल ग्रुप

लंडनमधील एका ४०० खोल्यांच्या लक्झरी हॉटेलमध्ये मुख्य भूप्रदेश चीनमधील (mainland China) मोठ्या संख्येने पाहुणे येत होते. त्यांच्या मूळ Captive Portal ला ईमेल पत्ता आणि SMS पडताळणीची आवश्यकता होती. चिनी मोबाईल क्रमांकांना युरोपियन वाहकांकडून (carriers) वारंवार SMS मिळत नव्हते आणि अनेक पाहुण्यांच्या उपकरणांवर स्थानिक ईमेल खाती कॉन्फिगर केलेली नव्हती. यामुळे पोर्टल सोडण्याचा (abandonment) दर ६०% इतका जास्त होता.

हॉटेलने Official Accounts प्लॅटफॉर्मवर एक सर्व्हिस अकाउंट आणि Open Platform वर एक वेबसाइट ॲप्लिकेशन नोंदणीकृत केले. पोर्टलने MicroMessenger युझर-एजंट शोधून काढला आणि इन-ॲप ब्राउझर युझर्ससाठी snsapi_base ट्रिगर केले - ज्यामुळे त्यांना कोणत्याही ऑथोरायझेशन प्रॉम्प्टशिवाय तीन सेकंदांपेक्षा कमी वेळात जोडले गेले. Chrome किंवा Safari वापरणाऱ्या पाहुण्यांना QR कोड दाखवला गेला. पुढील भेटींवर, सिस्टमने समान OpenID ओळखला आणि कोणतीही क्रेडेन्शियल्स न मागता पाहुण्याला शांतपणे ऑथेंटिकेट केले. हॉटेलच्या CRM ने पाहुण्याच्या परत येण्याची नोंद केली, ज्यामुळे आगमनापूर्वीचे लक्ष्यित संभाषण करणे शक्य झाले. हॉस्पिटॅलिटीमध्ये WiFi तैनात करण्याबद्दल अधिक माहितीसाठी, Hospitality पहा.

रिटेल: शॉपिंग सेंटर ॲनालिटिक्स

एका मोठ्या शॉपिंग सेंटरला भाडेकरूंचे मिश्रण (tenant mix) आणि मार्केटिंग धोरणे ठरवण्यासाठी चिनी ग्राहकांकडून लोकसंख्याशास्त्रीय (demographic) माहिती मिळवायची होती. त्यांना त्यांचे मूळ शहर, लिंग आणि भेटींची वारंवारता समजून घेणे आवश्यक होते. येथे, snsapi_base अपुरे होते - त्यांना snsapi_userinfo ची आवश्यकता होती. पोर्टलने पूर्ण userinfo कव्हरेजची विनंती केली. पाहुण्यांना WeChat ऑथोरायझेशन प्रॉम्प्ट दिसला आणि त्यांनी 'allow' वर क्लिक केले. शॉपिंग सेंटरच्या ॲनालिटिक्स प्लॅटफॉर्मने, जे Purple च्या WiFi Analytics सोबत समाकलित (integrate) आहे, पडताळणी केलेल्या लोकसंख्याशास्त्रीय डेटाचा प्रवाह प्राप्त केला. शनिवारच्या दुपारी, ४०% WiFi युझर्स एका विशिष्ट प्रदेशातील होते. या डेटाचा थेट परिणाम पॉप-अप ॲक्टिव्हेशन्ससाठी कोणत्या ब्रँड्सशी संपर्क साधायचा यावर झाला. रिटेल WiFi उपयोजनांबद्दल (deployments) अधिक माहितीसाठी, Retail पहा.

-

त्रुटी निवारण (Troubleshooting) आणि जोखीम कमी करणे

WeChat OAuth Captive Portal उपयोजनांमधील पाच सर्वात सामान्य त्रुटी खालीलप्रमाणे आहेत:

Redirect URI विसंगती (Error 40029). WeChat नोंदणीकृत डोमेनच्या विरूद्ध redirect URI ची पडताळणी करते. सबडोमेन, पाथ किंवा प्रोटोकॉलमधील कोणत्याही विसंगतीमुळे कोड एक्सचेंज अयशस्वी होईल. स्टेजिंग वातावरणासह सर्व व्हेरिएंट्सची नोंदणी करा.

AppSecret उघड होणे. क्लायंट-साइड कोडमध्ये AppSecret एम्बेड करणे ही सर्वात गंभीर सुरक्षा चूक आहे. कृपया सर्व टोकन एक्सचेंज लॉजिक सर्व्हर बाजूला हलवा.

CSRF संरक्षणाचा अभाव. state पॅरामीटर पडताळणीकडे दुर्लक्ष केल्याने पोर्टल Cross-Site Request Forgery हल्ल्यांसाठी असुरक्षित राहते. प्रति सेशन एक क्रिप्टोग्राफिक यादृच्छिक (random) मूल्य तयार करा आणि कॉलबॅकवर त्याची पडताळणी करा.

इन-ॲप ब्राउझर शोधण्यात अपयश. युझर एजंटमध्ये MicroMessenger शोधण्यात अपयशी ठरल्यास इन-ॲप ब्राउझर युझर्सना चुकीचा OAuth फ्लो दाखवला जाईल, ज्यामुळे त्रुटी निर्माण होतील. MAC address randomisation मुळे MAB सेशन्स खंडित होतात. आधुनिक मोबाईल ऑपरेटिंग सिस्टम्स MAC addresses यादृच्छिक (randomise) करतात. MAB अंमलबजावणीवर अवलंबून असणारे पाहुणे पुन्हा कनेक्ट झाल्यावर त्यांचे सेशन गमावतील. विश्वसनीय सेशन व्यवस्थापनासाठी RADIUS CoA वर अपग्रेड करा. सुरक्षित WiFi कॉन्फिगरेशनच्या मार्गदर्शनासाठी, What is Secure WiFi: The 2026 Enterprise Essential Guide पहा.


ROI आणि व्यावसायिक प्रभाव

पाहुण्यांच्या WiFi साठी WeChat लॉगिन तैनात केल्याने तीन मोजण्यायोग्य प्रभाव मिळतात.

सुधारित प्रमाणीकरण (authentication) दर. SMS पडताळणीतील त्रुटी आणि ईमेल इनपुटची आवश्यकता दूर केल्याने यशस्वीरित्या कनेक्ट होणाऱ्या चीनी अभ्यागतांचे प्रमाण वाढते. WeChat सपोर्ट नसलेल्या Captive Portals साठी, ६०% अर्धवट सोडण्याचा (abandonment) दर हे एक वास्तववादी बेसलाईन आहे.

फर्स्ट-पार्टी डेटा गुणवत्ता. WeChat-व्हेरिफाइड प्रोफाईलमध्ये वैध OpenID समाविष्ट असतो आणि snsapi_userinfo द्वारे सोशल प्लॅटफॉर्मवरील डेमोग्राफिक वैशिष्ट्यांमध्ये थेट प्रवेश मिळतो. हा डेटा थर्ड-पार्टी कुकीजवर अवलंबून न राहता लक्ष्यित मार्केटिंग चालवण्यासाठी अ‍ॅनालिटिक्स प्लॅटफॉर्ममध्ये समाविष्ट केला जाऊ शकतो.

कमी झालेला सपोर्ट ओव्हरहेड. अखंड लॉगिनमुळे आंतरराष्ट्रीय अभ्यागतांच्या कनेक्शन समस्यांचे निवारण करण्यासाठी फ्रंट डेस्क आणि आयटी सपोर्ट स्टाफवरील कॉल्सचे प्रमाण कमी होते.

Purple ८०,००० पेक्षा जास्त ठिकाणी कार्यरत आहे आणि २०२४ मध्ये ४४ कोटी logins प्रक्रिया केले आहेत (Purple अंतर्गत डेटा). हा प्लॅटफॉर्म ISO 27001 प्रमाणित, GDPR आणि CCPA चे पालन करणारा आहे आणि ९९.९९९% अपटाइम राखतो. Retail आणि Hospitality क्षेत्रातील ठिकाणांसाठी, WeChat प्रमाणीकरण नेटवर्कला खर्च केंद्रातून एका मजबूत फर्स्ट-पार्टी डेटा कॅप्चर चॅनेलमध्ये रूपांतरित करते.

महत्वाच्या व्याख्या

Captive portal

एक वेब पृष्ठ जे एखाद्या अनधिकृत उपकरणावरील HTTP ट्रॅफिक अडवते आणि नेटवर्क प्रवेश मंजूर करण्यापूर्वी वापरकर्त्याला त्यासोबत संवाद साधण्याची आवश्यकता असते.

मुख्य इंटरफेस जिथे पाहुण्यांना WeChat लॉगइन पर्याय सादर केला जातो. पोर्टल सर्व्हर हे पृष्ठ होस्ट करतो आणि OAuth फ्लो व्यवस्थापित करतो.

OAuth 2.0

एक उद्योग-मानक ऑथरायझेशन प्रोटोकॉल (RFC 6749) जो एखाद्या वापरकर्त्याच्या वतीने तृतीय-पक्ष ॲप्लिकेशनला HTTP सेवेमध्ये मर्यादित प्रवेश मिळवण्याची परवानगी देतो.

वापरकर्त्याची क्रेडेंशियल्स उघड न करता पोर्टल सर्व्हरला ऑथेंटिकेशन टोकन पास करण्यासाठी WeChat वापरत असलेला मूळ प्रोटोकॉल. Microsoft Entra ID, Okta, आणि Google Workspace द्वारे वापरला जाणारा हाच प्रोटोकॉल आहे.

OpenID

विशिष्ट Official Account साठी विशिष्ट WeChat वापरकर्त्याला नियुक्त केलेला एक अनन्य अल्फान्यूमेरिक आयडेंटिफायर.

WiFi ॲनालिटिक्स डेटाबेसमध्ये परत येणाऱ्या पाहुण्यांची ओळख पटवण्यासाठी प्राथमिक की म्हणून वापरले जाते. प्रत्येक Official Account नुसार बदलते - संपूर्ण मालमत्ता ओळखीसाठी UnionID वापरा.

UnionID

एकाच Open Platform खात्याशी लिंक केलेल्या सर्व Official Accounts आणि ॲप्समधील वापरकर्त्याचे प्रतिनिधित्व करणारा एकल WeChat आयडेंटिफायर.

हॉटेल समूह, रिटेल साखळ्या आणि एकाधिक ठिकाणे असलेल्या स्टेडियम ऑपरेटर्ससाठी आवश्यक ज्यांना त्यांच्या संपूर्ण मालमत्तेमध्ये एकाच पाहुण्याची ओळख पटवणे आवश्यक आहे.

RADIUS CoA (Change of Authorization)

RADIUS प्रोटोकॉल (RFC 3576) चा एक विस्तार जो RADIUS सर्व्हरला सक्रिय सत्राचे ऑथरायझेशन गुणधर्म डायनॅमिकपणे बदलण्याची परवानगी देतो.

यशस्वी WeChat लॉगइन नंतर पाहुण्याच्या उपकरणाला एका वेगळ्या प्री-ऑथेंटिकेशन VLAN वरून सक्रिय इंटरनेट VLAN वर हलवण्यासाठी वापरली जाणारी सुरक्षित पद्धत. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet द्वारे समर्थित.

snsapi_base

एक WeChat OAuth व्याप्ती जी केवळ वापरकर्त्याचा OpenID परत करते आणि वापरकर्त्याकडून कोणत्याही संमती प्रॉम्प्टची आवश्यकता नसते.

परत येणाऱ्या पाहुण्यांच्या री-ऑथेंटिकेशनसाठी शिफारस केलेली व्याप्ती. GDPR आणि PIPL डेटा मिनिमायझेशन तत्त्वांतर्गत न्याय्य ठरवणे सोपे आहे.

snsapi_userinfo

एक WeChat OAuth व्याप्ती जी वापरकर्त्याचा OpenID, टोपणनाव, प्रोफाइल फोटो, लिंग आणि शहर परत करते आणि त्यासाठी स्पष्ट संमती स्क्रीनची आवश्यकता असते.

पहिल्यांदा येणाऱ्या पाहुण्यांच्या नोंदणीसाठी वापरले जाते जिथे ॲनालिटिक्ससाठी डेमोग्राफिक डेटा आवश्यक असतो. GDPR आणि PIPL अंतर्गत दस्तऐवजीकरण कायदेशीर आधार आवश्यक आहे.

PIPL (Personal Information Protection Law)

चीनचा सर्वसमावेशक डेटा गोपनीयता कायदा, नोव्हेंबर २०२१ पासून प्रभावी, जो चीनमध्ये राहणाऱ्या नैसर्गिक व्यक्तींच्या वैयक्तिक माहितीच्या प्रक्रियेचे नियमन करतो.

जेव्हा ठिकाणे WeChat OAuth द्वारे चिनी नागरिकांच्या डेटावर प्रक्रिया करतात तेव्हा लागू होते. स्पष्ट संमती, उद्देश मर्यादा, डेटा मिनिमायझेशन आणि हटवण्याची यंत्रणा आवश्यक आहे.

AppSecret

ॲप्लिकेशन नोंदणी दरम्यान WeChat द्वारे जारी केलेली एक गोपनीय क्रिप्टोग्राफिक की, जी पोर्टल सर्व्हरवरील API कॉल अधिकृत करण्यासाठी वापरली जाते.

केवळ सर्व्हरच्या बाजूला सुरक्षितपणे साठवले जाणे आवश्यक आहे. क्लायंट-साइड JavaScript मधील एक्सपोजरमुळे हल्लेखोर ॲप्लिकेशनचे सोंग घेऊ शकतात आणि दुर्भावनापूर्णपणे WeChat API कॉल करू शकतात.

सोडवलेली उदाहरणे

लंडनमधील एका ४०० खोल्यांच्या लक्झरी हॉटेलचा मुख्य भूप्रदेश चीनमधील पाहुण्यांमध्ये पोर्टल ड्रॉप-ऑफ दर ६०% आहे. सध्याच्या पोर्टलसाठी ईमेल आणि SMS व्हेरिफिकेशन आवश्यक आहे. IT संचालकांना GDPR चे पालन आणि नेटवर्क सुरक्षितता राखून WeChat ऑथेंटिकेशन लागू करण्याची आवश्यकता आहे.

पायरी १: WeChat Official Accounts Platform (mp.weixin.qq.com) वर सर्व्हिस अकाउंट आणि WeChat Open Platform (open.weixin.qq.com) वर वेबसाइट ॲप्लिकेशनची नोंदणी करा. पायरी २: MicroMessenger युझर एजंट स्ट्रिंग शोधण्यासाठी पोर्टल कॉन्फिगर करा. आढळल्यास, सायलेंट ऑथेंटिकेशनसाठी snsapi_base OAuth फ्लो ट्रिगर करा. न आढळल्यास, QR कोड फ्लो सादर करा. पायरी ३: WeChat लॉगइन बटण सक्रिय होण्यापूर्वी पोर्टल पृष्ठावर GDPR - सुसंगत गोपनीयता सूचना आणि संमती चेकबॉक्स जोडा. सूचनेमध्ये हे स्पष्ट केले पाहिजे: संकलित केलेला डेटा (केवळ OpenID), उद्देश (guest WiFi प्रवेश आणि परतीचा प्रवास ओळखणे), आणि डेटा ठेवण्याचा कालावधी. पायरी ४: यशस्वी OAuth टोकन एक्सचेंज नंतर, पोर्टल सर्व्हर Cisco Meraki कंट्रोलरला RADIUS CoA विनंती पाठवतो, ज्यामुळे गेस्ट डिव्हाइस प्री-ऑथ VLAN मधून सेगमेंट केलेल्या गेस्ट VLAN मध्ये हलवले जाते. पायरी ५: गेस्ट डेटाबेसमध्ये डिव्हाइसच्या MAC ॲड्रेस विरुद्ध OpenID स्टोअर करा. त्यानंतरच्या भेटींमध्ये, परत येणारा OpenID सायलेंट री-ऑथेंटिकेशन ट्रिगर करतो.

परीक्षकाचे भाष्य: हा दृष्टिकोन तांत्रिक आणि अनुपालन आवश्यकता दोन्ही योग्यरित्या पूर्ण करतो. snsapi_base वापरल्याने GDPR डेटा मिनिमायझेशन तत्त्वांशी जुळवून घेता येते, ज्यामुळे SMS व्हेरिफिकेशनची बिघाड दूर होऊन कायदेशीर धोका कमी होतो. RADIUS CoA सुरक्षित, स्वयंचलित नेटवर्क सेगमेंटेशन सुनिश्चित करते. संमती चेकबॉक्स दस्तऐवजीकरण केलेल्या कायदेशीर आधारासाठी GDPR आवश्यकता पूर्ण करतो. मुख्य निर्णय snsapi_userinfo ऐवजी snsapi_base वापरणे हा आहे - हॉटेलला या वापरासाठी डेमोग्राफिक डेटाची आवश्यकता नाही, त्यामुळे तो गोळा केल्याने विनाकारण अतिरिक्त अनुपालनाच्या जबाबदाऱ्या वाढतील.

एका शॉपिंग मॉलला चिनी खरेदीदारांकडून guest WiFi द्वारे लिंग आणि शहराचा डेटा त्यांच्या ॲनालिटिक्स प्लॅटफॉर्मवर पाठवण्यासाठी मिळवायचा आहे. ते सध्या HPE Aruba हार्डवेअरवर चालणाऱ्या त्यांच्या विद्यमान पोर्टलसाठी MAC Authentication Bypass वापरतात.

पायरी १: WeChat Official Accounts Platform वर सर्व्हिस अकाउंटची नोंदणी करा. पायरी २: लिंग आणि शहर मिळवण्यासाठी snsapi_userinfo स्कोप वापरण्यासाठी पोर्टल कॉन्फिगर करा. पायरी ३: मूल्य देवाणघेवाण स्पष्ट करणारी एक स्पष्ट संमती स्क्रीन जोडा: प्रोफाइल डेटा ॲक्सेसच्या बदल्यात मोफत WiFi. GDPR आणि PIPL दोन्ही अंतर्गत संमती स्पष्ट आणि तपशीलवार असणे आवश्यक आहे. पायरी ४: ऑथेंटिकेशननंतर, पोर्टल सर्व्हर RADIUS डेटाबेसमध्ये डिव्हाइसचा MAC ॲड्रेस नोंदवतो. HPE Aruba कंट्रोलर MAB द्वारे प्रवेशास अनुमती देतो. पायरी ५: डेटा प्रोसेसिंग रजिस्टरमध्ये कायदेशीर आधार (संमती), उद्देश (वेन्यू ॲनालिटिक्स आणि मार्केटिंग), आणि डेटा ठेवण्याचा कालावधी (२४ महिने) दस्तऐवजीकरण करा. डेटा हटवण्याची यंत्रणा प्रदान करा.

परीक्षकाचे भाष्य: snsapi_userinfo स्कोप आवश्यक डेमोग्राफिक डेटा योग्यरित्या मिळवतो. तथापि, MAB वर अवलंबून राहिल्याने एक मोठा ऑपरेशनल धोका उद्भवतो: iOS 14+ आणि Android 10+ डीफॉल्टनुसार MAC ॲड्रेस यादृच्छिक (randomise) करतात, याचा अर्थ असा की पाहुणे पुन्हा जोडताना त्यांचे ऑथेंटिकेट झालेले सेशन गमावतील आणि त्यांना पुन्हा ऑथेंटिकेट करण्यास भाग पाडले जाईल. मॉलने हे सोडवण्यासाठी HPE Aruba वर RADIUS CoA वर स्थलांतरित होण्याची योजना आखली पाहिजे. PIPL अनुपालन दस्तऐवजीकरण पर्यायी नाही - वेन्यू कुठेही असला तरीही, चिनी नागरिकांच्या डेटावर प्रक्रिया करण्यासाठी ही एक कायदेशीर आवश्यकता आहे.

सराव प्रश्न

Q1. तुम्ही एका स्टेडियमवर captive portal तैनात करत आहात. तुम्हाला परत येणारे सीझन तिकीटधारक ज्यांनी आधी ऑथेंटिकेशन केले आहे, त्यांनी पुढील भेटींवर लॉगइन स्क्रीन न पाहता स्वयंचलितपणे कनेक्ट व्हावे अशी तुमची इच्छा आहे. री-ऑथेंटिकेशन प्रवाहासाठी तुम्ही कोणती WeChat OAuth व्याप्ती लागू करावी आणि का?

टीप: कोणती व्याप्ती प्रत्येक भेटीवर वापरकर्त्याला संमती न विचारता शांत ऑथेंटिकेशनची परवानगी देते याचा विचार करा.

नमुना उत्तर पहा

snsapi_base वापरा. ही व्याप्ती केवळ वापरकर्त्याचा OpenID परत करते आणि संमती प्रॉम्प्टची आवश्यकता नसते, ज्यामुळे मूक री-ऑथेंटिकेशन सक्षम होते. पहिल्या भेटीवर, तुम्ही चाहत्याच्या प्रोफाइलमध्ये OpenID साठवता. पुढील भेटींवर, पोर्टल snsapi_base द्वारे परत येणारा OpenID शोधते, जुळणीची पुष्टी करते आणि प्रवेश मंजूर करण्यासाठी RADIUS CoA जारी करते - हे सर्व चाहत्याला लॉगइन स्क्रीन न दिसता होते. हे GDPR डेटा मिनिमायझेशन तत्त्वांशी देखील सुसंगत आहे, कारण तुम्ही ऑथेंटिकेशन कार्यासाठी आवश्यक असलेल्या डेटा व्यतिरिक्त इतर डेटा गोळा करत नाही.

Q2. चाचणी दरम्यान, तुमचे पोर्टल यशस्वीरित्या WeChat कडे रिडायरेक्ट करते, वापरकर्ता संमती देतो आणि WeChat तुमच्या पोर्टलवर परत रिडायरेक्ट करते. तथापि, पोर्टल सर्व्हर लॉग OAuth त्रुटी 40029 (invalid code) दर्शवतात. सर्वात संभाव्य कॉन्फिगरेशन त्रुटी कोणती आहे आणि तुम्ही ती कशी सोडवाल?

टीप: WeChat नोंदणीकृत सूचीसह ऑथरायझेशन कोड ज्या ठिकाणी पाठवले जातात त्या गंतव्यस्थानाची काटेकोरपणे पडताळणी करते.

नमुना उत्तर पहा

सर्वात संभाव्य कारण म्हणजे रिडायरेक्ट URI न जुळणे हे आहे. WeChat प्लॅटफॉर्मवर नोंदणीकृत अधिकृत डोमेनच्या विरूद्ध OAuth विनंतीमधील रिडायरेक्ट URI प्रमाणित करते. जर पोर्टल सर्व्हर वेगळा सबडोमेन, वेगळा पाथ किंवा HTTPS ऐवजी HTTP वापरत असेल, तर कोड एक्सचेंज एरर 40029 सह अयशस्वी होतो. निराकरण: WeChat डेव्हलपर प्लॅटफॉर्ममध्ये लॉग इन करा, तुमच्या सेवा खाते (Service Account) किंवा वेबसाइट ॲप्लिकेशन (Website Application) सेटिंग्जवर जा आणि तुम्ही वापरत असलेला प्रत्येक रिडायरेक्ट URI प्रकार जोडा - ज्यामध्ये स्टेजिंग सबडोमेन, भिन्न पाथ आणि HTTPS आवृत्त्यांचा समावेश आहे. तुमच्या OAuth विनंतीमधील redirect_uri पॅरामीटर युआरएल एन्कोडिंगसह नोंदणीकृत URIs पैकी एकाशी तंतोतंत जुळत असल्याची खात्री करा.

Q3. क्लायंट ब्राउझरमधून थेट टोकन एक्सचेंज प्रक्रियेला गती देण्यासाठी एका IT व्यवस्थापकाने कॅप्टिव्ह पोर्टलच्या फ्रंट-एंड JavaScript मध्ये WeChat AppSecret एम्बेड करण्याचा प्रस्ताव दिला आहे. तुम्ही हा प्रस्ताव का नाकारला पाहिजे आणि योग्य आर्किटेक्चर काय आहे?

टीप: सार्वजनिकरित्या प्रवेशयोग्य कोडमध्ये क्रिप्टोग्राफिक की उघड करण्याच्या सुरक्षा परिणामांचा विचार करा.

नमुना उत्तर पहा

हा प्रस्ताव नाकारा. AppSecret ही एक गोपनीय क्रिप्टोग्राफिक की आहे. क्लायंट-साइड JavaScript मध्ये ती एम्बेड केल्याने पेजचा सोर्स पाहणाऱ्या किंवा नेटवर्क ट्रॅफिक तपासणाऱ्या कोणालाही ती उघड होते. एखादा आक्रमणकर्ता AppSecret मिळवू शकतो आणि ॲप्लिकेशनची तोतयागिरी करू शकतो, वेन्यूच्या वतीने WeChat APIs कॉल करू शकतो, वापरकर्त्याच्या डेटावर प्रवेश करू शकतो आणि संपूर्ण अधिकृत खाते (Official Account) धोक्यात आणू शकतो. योग्य आर्किटेक्चर: क्लायंट-साइड पोर्टल पेज WeChat कडून ऑथरायझेशन कोड प्राप्त करते आणि सर्व्हर-साइड API कॉलद्वारे पोर्टल सर्व्हरकडे पाठवते. पोर्टल सर्व्हर सुरक्षित एन्व्हायर्नमेंट व्हेरिएबलमध्ये AppSecret सुरक्षित ठेवतो आणि WeChat च्या API सह टोकन एक्सचेंज करतो. AppSecret कधीही सर्व्हर सोडून जात नाही.

Q4. युरोपमध्ये 15 हॉटेल्स असलेल्या एका हॉटेल समूहाला एक युनिफाइड गेस्ट प्रोफाइल तयार करायची आहे, जी एकच चीनी पाहुणा वेगवेगळ्या हॉटेल्समध्ये राहतो तेव्हा ओळखू शकेल. प्रत्येक हॉटेलचे स्वतःचे WeChat अधिकृत खाते (Official Account) आहे. त्यांनी कोणते WeChat आयडेंटिफायर वापरावे आणि कोणते कॉन्फिगरेशन आवश्यक आहे?

टीप: OpenID हे खात्याशी संबंधित असते. क्रॉस-अकाउंट ओळखीसाठी डिझाइन केलेले एक वेगळे आयडेंटिफायर आहे.

नमुना उत्तर पहा

UnionID वापरा. प्रत्येक अधिकृत खात्यानुसार (Official Account) OpenID बदलतो, त्यामुळे एकाच पाहुण्याचे 15 वेगवेगळ्या खात्यांमध्ये 15 वेगवेगळे OpenIDs असतील. UnionID हे एक स्थिर आयडेंटिफायर आहे जे एकाच ओपन प्लॅटफॉर्म खात्याशी लिंक केलेल्या सर्व अधिकृत खात्यांवर आणि ॲप्सवर वापरकर्त्याचे प्रतिनिधित्व करते. आवश्यक कॉन्फिगरेशन: सर्व 15 अधिकृत खाती एकाच WeChat ओपन प्लॅटफॉर्म खात्याशी लिंक करा. एकदा लिंक झाल्यावर, वापरकर्त्याने लिंक केलेल्या खात्यांपैकी किमान एका खात्याला अधिकृत केले की OAuth प्रतिसादात UnionID परत मिळतो. पाहुणे कोणत्या हॉटेलला भेट देतात याची पर्वा न करता त्यांच्या प्रोफाइल ओळखण्यासाठी गेस्ट CRM मध्ये प्राथमिक की (primary key) म्हणून UnionID वापरा.

या मालिकेमध्ये पुढे वाचा

Ruijie साठी कॅप्टिव्ह पोर्टल: Purple अतिथी WiFi सह सेट अप करा

वेब ऑथेंटिकेशन आणि RADIUS चा वापर करून, कमांड लाइनवरून कॉन्फिगर केलेले Purple चे क्लाउड अतिथी WiFi, Ruijie RG Series ॲक्सेस पॉइंट्सवर कसे काम करते आणि अचूक सेटअप पायऱ्या कुठे शोधायच्या.

मार्गदर्शिका वाचा →

B2B Captive Portals डिझाइन करणे: नोंदणीकृत नाव आणि कंपनी डेटा गोळा करणे

हे मार्गदर्शक IT व्यवस्थापक आणि वेन्यू ऑपरेटर्सना B2B captive portals डिझाइन करण्यासाठी विक्रेता-तटस्थ तांत्रिक फ्रेमवर्क प्रदान करते. यामध्ये नोंदणीकृत नाव आणि कंपनी डेटा मिळवण्यासाठी नोंदणी फील्ड्सची रचना कशी करावी, GDPR चे पालन राखून आणि खाते-स्तरीय बुद्धिमत्ता तयार करून उच्च पूर्णत्व दर सुनिश्चित करणे याबद्दल सविस्तर माहिती दिली आहे.

मार्गदर्शिका वाचा →

कॅप्टिव्ह पोर्टल आर्किटेक्चर: सुरक्षा, रिडायरेक्शन आणि सर्वोत्तम पद्धती

एंटरप्राइझ कॅप्टिव्ह पोर्टल आर्किटेक्चरवरील एक निश्चित तांत्रिक संदर्भ. हे मार्गदर्शक सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करणाऱ्या IT नेत्यांसाठी नेटवर्क आयसोलेशन, DNS रिडायरेक्शन, RADIUS ऑथेंटिकेशन आणि सुरक्षा अनुपालन उलगडून दाखवते.

मार्गदर्शिका वाचा →