Integrar a Autenticação WeChat WiFi: Captar o Envolvimento através de Captive Portals Sociais

Este guia detalha como integrar a autenticação WeChat WiFi em captive portals empresariais, abrangendo a arquitetura OAuth 2.0, a integração RADIUS e a implementação passo a passo em hardware Cisco Meraki, HPE Aruba e Juniper Mist. Fornece aos gestores de TI e arquitetos de rede uma estrutura prática para captar dados primários (first-party) dos 1,3 mil milhões de utilizadores do WeChat, impulsionando simultaneamente o envolvimento através de novos seguidores na Conta Oficial e redirecionamentos pós-login.

📖 8 min de leitura📝 1,875 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos analisar em detalhe uma integração crítica para locais que procuram captar o envolvimento de um grupo demográfico massivo: Integrar o WeChat WiFi Login através de Captive Portals sociais.

Se é um gestor de TI, arquiteto de rede ou diretor de operações num hotel, cadeia de retalho ou local público, conhece o desafio. Quer oferecer um WiFi de convidado sem fricção, mas a sua equipa de marketing exige dados primários. Os formulários de registo manual causam desistências e os logins sociais genéricos nem sempre são eficazes para visitantes internacionais, especialmente os da China, onde o WeChat é o ecossistema digital dominante.

É aí que entra a autenticação WeChat WiFi. Transforma um captive portal padrão numa ferramenta estratégica de captura de dados. Hoje, vamos detalhar a arquitetura técnica, as etapas de implementação e as armadilhas comuns que precisa de evitar.

Comecemos pela arquitetura. Como é que isto funciona na realidade?

A autenticação WeChat WiFi substitui a tradicional introdução manual de formulários por um fluxo OAuth 2.0 integrado diretamente na experiência do captive portal. Quando um convidado se liga à sua rede WiFi, o seu ponto de acesso ou controlador de LAN sem fios interpela o tráfego e redireciona o utilizador para um captive portal alojado na Purple Cloud Platform.

Em vez de introduzir um endereço de e-mail, o utilizador seleciona a opção de login do WeChat. Isto despoleta uma chamada de API para a plataforma aberta do WeChat. O utilizador autoriza a ligação dentro da sua aplicação WeChat e o WeChat devolve um token de acesso e dados de perfil do utilizador - tais como OpenID, unionid, alcunha e avatar - à plataforma Purple.

A Purple sinaliza então o seu servidor RADIUS para enviar uma mensagem Access-Accept para o hardware da sua rede, concedendo acesso à internet e aplicando quaisquer políticas configuradas, como limites de largura de banda ou atribuição de VLAN. É uma partilha de chaves segura e sem falhas entre cinco sistemas distintos, tudo a acontecer em menos de três segundos na perspetiva do utilizador.

Agora, do que precisa para que isto aconteça? Existem quatro componentes fundamentais.

Primeiro, a Conta Oficial WeChat. Deve possuir uma Conta de Serviço WeChat verificada, conhecida em chinês como Fuwuhao. As contas de subscrição não têm as permissões de API necessárias para a integração OAuth. Este é um requisito obrigatório. A Conta de Serviço fornece o AppID e o AppSecret necessários para a comunicação por API.

Segundo, o próprio Captive Portal. Esta é a página de entrada com a sua marca que interpela a sessão e apresenta o botão de login do WeChat. Precisa de ser reponsiva em dispositivos móveis e capaz de lidar corretamente com o URI de redirecionamento OAuth.

Terceiro, a Gestão de Identidades e Acessos. A plataforma Purple atua aqui como intermediária, gerindo a troca de tokens OAuth, mapeando os dados de perfil do WeChat para o seu CRM e tratando da comunicação RADIUS. Esta é a camada de inteligência que liga o ecossistema WeChat à sua infraestrutura de rede.

E em quarto lugar, o seu Hardware de Rede. Pontos de acesso empresariais de fornecedores como a Cisco Meraki, HPE Aruba, ou Juniper Mist, configurados para redirecionar o tráfego não autenticado para o Captive Portal externo e aplicar os atributos de autorização RADIUS.

Então, como implementamos isto? É um processo de três passos.

Passo Um: Configurar a Conta de Programador WeChat. Terá de ativar a funcionalidade de autorização de página web OAuth 2.0 na plataforma WeChat Official Account. Registe o domínio do seu Captive Portal como o domínio de retorno de chamada autorizado. Isto garante que o WeChat apenas envia códigos de autorização para a sua infraestrutura fidedigna. Em seguida, obtenha o seu AppID e AppSecret.

Passo Dois: Configurar a Plataforma Purple. Navegue até à configuração dos métodos de autenticação, ative o início de sessão social do WeChat e introduza o seu AppID e AppSecret. Desenhe a sua splash page para destacar o início de sessão com o WeChat. E, fundamentalmente, configure os seus redirecionamentos pós-autenticação. Não envie apenas os utilizadores para uma página genérica de sucesso. Redirecione-os para o perfil da sua WeChat Official Account para incentivar a que o sigam, ou para uma landing page promocional direcionada.

Passo Três: Configuração da Infraestrutura de Rede. No seu controlador sem fios, configure o SSID de convidados para autenticação de Captive Portal externo. Introduza o URL do Captive Portal da Purple. E aqui está o passo de configuração mais importante: configure as entradas do walled garden, ou lista branca. Deve incluir na lista branca os domínios da API do WeChat e os intervalos de IP para que o dispositivo do utilizador possa comunicar com o WeChat antes de estar totalmente autenticado na rede. Se falhar este passo, todo o fluxo é interrompido.

Agora vamos falar sobre as melhores práticas e a resolução de problemas. O que é que corre mal e como pode evitá-lo?

Acabei de mencionar o walled garden. Um walled garden mal configurado é a causa número um de falhas nos inícios de sessão do WeChat em implementações de produção. Se o dispositivo não conseguir aceder aos servidores do WeChat antes da autenticação, o fluxo OAuth não pode ser iniciado. Certifique-se de que todos os domínios do WeChat necessários estão acessíveis antes da autenticação. Teste isto exaustivamente antes de avançar para o ambiente de produção.

Outro problema comum é o Desemparelhamento do Redirecionamento OAuth. Se o URL de retorno de chamada registado no WeChat não corresponder exatamente ao URL do seu Captive Portal, o WeChat irá bloquear a autorização. Os protocolos e subdomínios devem corresponder perfeitamente. HTTPS versus HTTP, com ou sem uma barra final — estes detalhes importam.

Além disso, tenha atenção à interferência do Assistente do Captive Portal. Os sistemas operativos móveis utilizam estes mini-navegadores para gerir redes cativas, mas muitas vezes carecem de total funcionalidade e podem interferir com a chamada da aplicação WeChat. Poderá ser necessário implementar um script de deteção JavaScript para forçar o início de sessão no navegador nativo do sistema.

Do lado da estratégia, não desperdice a interação pós-início de sessão. Incentive os utilizadores a seguir a sua Official Account, a aceder a um mapa interior ou a visualizar um menu digital. Mantenha-os envolvidos no ecossistema do WeChat.

E quanto à minimização de dados: solicite apenas os dados de perfil do WeChat necessários para os seus objetivos de marketing. Solicitar permissões em excesso aumenta as taxas de abandono e complica a conformidade com a privacidade.

Por falar em conformidade, a recolha de dados através do WeChat deve cumprir as leis de privacidade regionais, incluindo o GDPR na Europa e a Lei de Proteção de Informações Pessoais na China. Certifique-se de que os termos de serviço do seu Captive Portal articulam claramente quais os dados recolhidos, como são utilizados e com quem são partilhados. Implemente mecanismos de consentimento explícito antes de iniciar o fluxo OAuth.

Agora, uma sessão rápida de Perguntas e Respostas sobre as questões que ouvimos com mais frequência.

Pergunta: Posso utilizar uma WeChat Subscription Account? Não. Precisa de uma Service Account verificada. Ponto final.

Pergunta: Preciso de colocar os domínios do WeChat na whitelist de todos os pontos de acesso? Sim. O walled garden deve ser configurado ao nível do SSID no controlador sem fios.

Pergunta: Durante quanto tempo é que o WeChat mantém o access token válido? Os access tokens do WeChat expiram após duas horas. Certifique-se de que a sua plataforma está configurada para os atualizar automaticamente.

Pergunta: Que dados recebo realmente do WeChat? Recebe o OpenID do utilizador, o seu unionid se tiver autorizado várias aplicações, o seu nickname, o URL da foto de perfil e a sua cidade e país de registo. Não recebe o seu número de telefone ou endereço de e-mail diretamente do WeChat.

Assim, para resumir, aqui estão os cinco pontos a reter do briefing de hoje.

Um: A autenticação WeChat WiFi utiliza o OAuth 2.0 para substituir a introdução manual de formulários por um início de sessão com um único toque, aumentando as taxas de conclusão em 20 a 30 por cento.

Dois: É obrigatória uma WeChat Service Account verificada. As contas de subscrição não funcionarão.

Três: A configuração do walled garden nos seus pontos de acesso é o passo mais crítico e mais comummente esquecido.

Quatro: Os redirecionamentos pós-autenticação para a sua Official Account convertem visitantes transitórios em seguidores digitais de longo prazo.

E cinco: Certifique-se de que as suas declarações de consentimento e privacidade cobrem os requisitos do GDPR e da PIPL antes de entrar em direto.

Este é o briefing técnico sobre a integração do início de sessão WeChat WiFi. Para saber mais sobre estratégia de WiFi para convidados, análise e conformidade, visite purple.ai. Obrigado por ouvir.

Principais Conclusões

✓A autenticação WeChat WiFi utiliza OAuth 2.0 para substituir os formulários de Captive Portal manuais por um início de sessão com um único toque, aumentando as taxas de conclusão em 20-30% (dados internos da Purple, 2024).
✓É obrigatória uma Conta de Serviço (服务号) WeChat verificada. As contas de subscrição não conseguem aceder às APIs de OAuth necessárias.
✓A configuração do walled garden nos pontos de acesso para incluir na lista de permissões os domínios da API do WeChat é o passo de implementação mais crítico e mais frequentemente esquecido.
✓A Purple atua como intermediária de OAuth, mapeando os dados de perfil do WeChat (OpenID, unionid, alcunha) para o CRM do local e sinalizando o RADIUS para conceder acesso à rede.
✓Os redirecionamentos pós-autenticação para a página de seguimento da Conta Oficial do WeChat convertem utilizadores transitórios de WiFi em seguidores digitais de longo prazo alcançáveis através de notificações push.
✓A colocação em cache do endereço MAC elimina a fricção de repetição de início de sessão para os visitantes que regressam, mantendo o registo da visita na plataforma de analítica.
✓As implementações devem estar em conformidade tanto com o GDPR como com a PIPL da China; o consentimento explícito deve ser recolhido antes de o fluxo OAuth ser iniciado.

Resumo executivo

A integração do login de WiFi do WeChat transforma um Captive Portal padrão num motor estratégico de dados de primeira parte para espaços que atendem visitantes chineses e o ecossistema mais amplo do WeChat. Para gestores de TI e arquitetos de rede, implementar o login do WeChat através de OAuth 2.0 e RADIUS exige equilibrar o acesso de convidados sem atrito com uma recolha de dados segura e em conformidade. Este guia detalha a arquitetura técnica, os passos de implementação e as considerações de segurança para implementar a autenticação de WiFi do WeChat em redes empresariais em hardware que inclui Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Mostra como a plataforma de Guest WiFi da Purple medeia o fluxo de OAuth, mapeia os dados de perfil para o seu CRM e impulsiona o envolvimento através de redirecionamentos pós-login para a sua Conta Oficial do WeChat.

O WeChat tem mais de 1,3 mil milhões de utilizadores ativos mensais, com os turistas chineses a gastar cerca de 255 mil milhões de dólares internacionalmente em 2023 (dados da Organização Mundial do Turismo). Para hotéis, retalho de luxo, aeroportos e centros de conferências, oferecer o login de WiFi do WeChat é um canal direto para essa demografia. A Purple opera em mais de 80.000 locais ativos e registou 440 milhões de logins em 2024, dando-nos visibilidade direta sobre o que funciona e o que falha em implementações de produção.

Detalhes técnicos aprofundados

Como funciona a autenticação de WiFi do WeChat

A autenticação de WiFi do WeChat substitui a introdução manual de formulários por um fluxo OAuth 2.0 integrado diretamente na experiência do Captive Portal. A sequência envolve cinco componentes que comunicam numa ordem definida:

O dispositivo do convidado liga-se ao SSID do local.
O ponto de acesso intercepta o tráfego HTTP não autenticado e redireciona o dispositivo para o Captive Portal alojado pela Purple.
O utilizador seleciona a opção de login do WeChat na splash page.
O portal inicia um pedido de autorização OAuth 2.0 para a API da plataforma aberta do WeChat, passando o AppID do local e um URI de redirecionamento.
A aplicação WeChat abre no dispositivo e solicita ao utilizador que autorize a ligação.
O WeChat devolve um código de autorização para o URI de redirecionamento.
A plataforma Purple troca o código por um token de acesso e obtém os dados de perfil do utilizador: OpenID, unionid, alcunha, avatar e localização registada.
A Purple sinaliza o servidor RADIUS para emitir uma mensagem Access-Accept para o ponto de acesso.
O ponto de acesso concede acesso à internet e aplica as políticas configuradas (atribuição de VLAN, limites de largura de banda, tempo limite de sessão).
O portal redireciona o utilizador para a Conta Oficial do WeChat do local ou para uma landing page direcionada.

Requisitos do tipo de conta

Este é o ponto de falha mais comum nas implementações de WeChat WiFi. Deve utilizar uma Conta de Serviço (服务号) do WeChat verificada. As contas de subscrição (订阅号) não expõem as APIs de autorização de página web OAuth 2.0 necessárias para a integração com o Captive Portal. A tabela abaixo resume as principais diferenças:

Funcionalidade	Conta de Serviço (服务号)	Conta de Subscrição (订阅号)
Login WiFi via OAuth 2.0	Sim	Não
Nível de acesso à API	Total	Limitado
Mensagens push por mês	4	30
Aparece como contacto	Sim	Agrupado em pasta
Integração com WeChat Pay	Sim	Não
Verificação necessária	Sim	Sim

A obtenção de uma Conta de Serviço verificada requer uma licença comercial chinesa ou um processo de candidatura especial no estrangeiro através da Tencent, o que acarreta uma taxa de verificação anual de 99 $ e um período de análise de duas a quatro semanas.

O walled garden: a configuração de rede mais crítica

Um walled garden (também designado por lista branca de pré-autenticação) define quais os endereços IP e domínios que um dispositivo pode aceder antes de concluir a autenticação no Captive Portal. Se os domínios da API do WeChat não estiverem no walled garden, o dispositivo não consegue iniciar o handshake OAuth e o login falha silenciosamente.

No mínimo, os seguintes domínios devem ser adicionados à lista branca:

*.weixin.qq.com
*.wechat.com
*.wx.qq.com
res.wx.qq.com
mp.weixin.qq.com
Intervalos de IP da CDN do WeChat (consulte a documentação de intervalos de IP publicada pela Tencent, pois estes mudam periodicamente)

No Cisco Meraki, configure estes domínios em Wireless > Access Control > Walled Garden. No HPE Aruba, utilize a lista branca de Captive Portal Profile. No Juniper Mist, configure a lista de domínios permitidos do Guest Portal.

Integração RADIUS e aplicação de políticas

A Purple atua como um proxy RADIUS nesta arquitetura. Após uma troca de OAuth do WeChat bem-sucedida, a Purple envia uma mensagem RADIUS Access-Accept para o controlador sem fios do local. A mensagem Access-Accept pode conter atributos RADIUS padrão para aplicar políticas por utilizador:

Tunnel-Type e Tunnel-Private-Group-ID para atribuição de VLAN (isolando o tráfego de convidados das redes corporativas, em conformidade com as melhores práticas de segmentação IEEE 802.1X)
Session-Timeout para desligar automaticamente após um período definido
WISPr-Bandwidth-Max-Up e WISPr-Bandwidth-Max-Down para limitação de largura de banda

Esta arquitetura é independente de hardware. A Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet sem necessidade de alterações de firmware ou servidores adicionais no local.

Guia de implementação

Passo 1: Configurar a conta de programador do WeChat

Inicie sessão no WeChat Official Account Platform em mp.weixin.qq.com. Navegue até Settings > Security Centre > Webpage Authorisation. Ative a autorização de página web OAuth 2.0 e adicione o seu domínio de captive portal como um domínio de callback autorizado (ex.: wifi.yourvenue.com). O WeChat apenas devolverá códigos de autorização para domínios aqui registados - uma divergência causará uma falha silenciosa.

Obtenha o seu AppID e AppSecret a partir do painel Development > Basic Configuration. Guarde o AppSecret de forma segura; trate-o como uma chave privada.

Passo 2: Configurar o Purple

No portal Purple, navegue até Authentication > Social Login e ative o WeChat. Introduza o AppID e o AppSecret. Desenhe a splash page do captive portal utilizando o editor de arrastar e largar do Purple. Torne o botão de início de sessão do WeChat a chamada à ação principal acima da dobra.

Configure o redirecionamento pós-autenticação. As opções incluem:

A página de seguimento da Conta Oficial de WeChat do local (recomendada para envolvimento)
Uma landing page promocional alojada num WeChat Mini Program
Uma página de inquérito utilizando as ferramentas de WiFi Analytics do Purple
Uma página de inscrição em programa de fidelidade

Ative a colocação em cache de endereços MAC em Authentication > Return Visitor Settings. Defina a duração da cache para corresponder à sua frequência de visita típica (sete dias para retalho, 30 dias para hotelaria). Os visitantes recorrentes ligar-se-ão automaticamente sem ver o portal novamente, enquanto a sua visita continua a ser registada no painel de analítica.

Passo 3: Configurar o hardware de rede

No seu controlador sem fios, configure o SSID de convidado para utilizar um captive portal externo. Introduza o URL do portal Purple como o URL da splash page. Adicione os domínios do WeChat ao walled garden. Defina os endereços IP do servidor RADIUS e os segredos partilhados fornecidos pelo Purple.

Teste o fluxo completo a partir de um dispositivo móvel antes de entrar em produção. Especificamente:

Ligue-se ao SSID de convidado.
Confirme que o captive portal é carregado no mini-navegador Captive Portal Assistant (CPA).
Toque no botão de início de sessão do WeChat e confirme que a aplicação WeChat é aberta.
Autorize a ligação e confirme que o acesso à internet é concedido.
Confirme que o redirecionamento pós-início de sessão é acionado corretamente.

Melhores práticas

Otimize o walled garden. Um walled garden mal configurado é a causa número um de falhas de início de sessão no WeChat em produção. Teste-o antes do lançamento e volte a testar após qualquer atualização de firmware de rede, uma vez que alguns controladores repõem as entradas da lista branca durante as atualizações.

Impulsione o envolvimento pós-início de sessão. O momento após a autenticação é o ponto de maior atenção na jornada de WiFi de convidado. Redirecione os utilizadores para a página de seguimento da sua Conta Oficial. Um convidado que siga a sua conta é contactável através de notificações push muito depois de sair do local. Implemente o caching de MAC para visitantes recorrentes. Exigir uma nova autenticação a cada visita degrada a experiência. O caching de MAC elimina a fricção para os clientes que regressam, continuando a registar a visita para análise. Consulte o WiFi Analytics da Purple para relatórios de tempo de permanência e visitas recorrentes.

Aplique a minimização de dados. Solicite apenas os campos de perfil do WeChat que o seu CRM realmente utiliza. Solicitar permissões desnecessárias aumenta a taxa de abandono da autorização e adiciona complexidade à conformidade com o GDPR. Para a maioria dos locais, o OpenID, a alcunha e o avatar são suficientes para a personalização.

Segmente o tráfego de convidados via VLAN. Atribua os convidados autenticados pelo WeChat a uma VLAN dedicada, isolada da sua rede corporativa ou de POS. Isto cumpre os requisitos de segmentação de rede PCI DSS e limita o raio de impacto de qualquer incidente de segurança do lado do convidado. Para uma abordagem completa sobre arquitetura de segurança WiFi, consulte o nosso enterprise WiFi security guide .

Cumpra o GDPR e a PIPL. Exiba um aviso de privacidade claro na splash page antes de o utilizador iniciar o fluxo OAuth do WeChat. O aviso deve identificar o responsável pelo tratamento de dados, listar as categorias de dados recolhidos do WeChat, indicar a base jurídica para o processamento e fornecer uma ligação para a política de privacidade completa. Para orientações detalhadas, consulte o nosso WiFi GDPR compliance guide .

Resolução de problemas e mitigação de riscos

Incompatibilidade de redirecionamento OAuth

Se o URL de callback registado na consola de programador do WeChat não corresponder exatamente ao URL que a Purple utiliza para o redirecionamento, o WeChat devolve um código de erro e bloqueia a autorização. Verifique se existem incompatibilidades de protocolo (HTTP vs HTTPS), barras finais e diferenças de subdomínio. O domínio registado deve ser uma correspondência exata de string.

Interferência do Captive Portal Assistant (CPA)

Os sistemas operativos móveis utilizam um mini-navegador CPA para detetar e gerir redes cativas. Estes mini-navegadores carecem frequentemente da capacidade de abrir aplicações nativas, o que quebra a chamada da aplicação WeChat no fluxo OAuth. As opções de mitigação incluem:

Implementar um redirecionamento de JavaScript que detete o ambiente CPA e abra o navegador completo do sistema antes de iniciar o fluxo OAuth.
Exibir uma instrução clara na splash page a indicar aos utilizadores para abrirem a página no seu navegador completo se o botão do WeChat não responder.

Expiração de tokens e sessões obsoletas

Os tokens de acesso do WeChat expiram após duas horas. Se a sua plataforma não atualizar o token, o registo de CRM do utilizador deixará de ser atualizado após a sessão inicial. Configure as definições de atualização de token da Purple para manter os tokens ativos durante a estadia do convidado.

Risco geopolítico e regulamentar

O WeChat está sujeito à regulamentação do governo chinês e às políticas de plataforma da Tencent. O acesso à API pode ser suspenso ou modificado sem aviso prévio. Mitigue este risco garantindo que o seu captive portal suporta múltiplos métodos de autenticação (e-mail, SMS, outros logins sociais) para que uma interrupção da API do WeChat não coloque todo o seu WiFi de convidados offline. O portal multi-método da Purple suporta esta arquitetura de fallback nativamente.

ROI e impacto no negócio

A implementação da autenticação WeChat WiFi proporciona retornos mensuráveis em três vetores.

Maior taxa de captura de dados. O login social reduz a fricção no preenchimento de formulários. Os espaços que utilizam as opções de login social da Purple reportam taxas de conclusão de autenticação 20-30% superiores às de portais equivalentes apenas com e-mail (dados internos da Purple, 2024). Num espaço que processe 500 ligações WiFi de convidados por dia, um aumento de 25% significa mais 125 perfis verificados capturados diariamente.

Crescimento de seguidores da Conta Oficial. O redirecionamento de utilizadores autenticados para a página de seguimento da Conta Oficial converte a afluência de público transitório numa audiência digital alcançável. Um hotel com 200 convidados autenticados via WeChat por dia, alcançando uma taxa de seguimento de 40%, adiciona 80 novos seguidores à Conta Oficial diariamente – seguidores que podem receber notificações push segmentadas sobre ofertas para novas visitas, atualizações de programas de fidelização e promoções sazonais.

Visibilidade operacional. A plataforma WiFi Analytics da Purple mapeia as sessões autenticadas via WeChat para o tempo de permanência, frequência de visitas e dados de movimento ao nível da zona. Isto fornece aos diretores de operações dos espaços os dados necessários para otimizar o pessoal, o layout e o timing promocional. Para espaços de hotelaria , estes dados integram-se diretamente com sistemas PMS para enriquecer os perfis dos convidados.

Para ambientes de retalho , a combinação da autenticação WeChat e da plataforma de analytics da Purple replica a riqueza de dados do e-commerce num contexto de loja física – uma capacidade que se torna cada vez mais valiosa à medida que a descontinuação de cookies de terceiros reduz a eficácia do retargeting digital.

Para orientação relacionada, consulte o nosso guia de conformidade GDPR de WiFi e o nosso guia de segurança WiFi empresarial . Para explorar como a Purple se implementa em verticais específicos, consulte as nossas páginas para hotelaria , retalho , cuidados de saúde e transportes .

Definições Principais

OAuth 2.0

Um protocolo de autorização padrão da indústria que permite a um utilizador conceder a uma aplicação de terceiros o acesso aos dados da sua conta noutro serviço sem partilhar a sua palavra-passe. Na autenticação WeChat WiFi, o Captive Portal é a aplicação de terceiros e o WeChat é o fornecedor de identidade.

O mecanismo subjacente para todos os inícios de sessão de WiFi social. As equipas de TI encontram-no ao configurar o AppID, AppSecret e URI de redirecionamento na consola de programador do WeChat e na plataforma Purple.

Captive portal

Uma página web que intercepta o tráfego de rede de um dispositivo e exige que o utilizador se autentique ou aceite os termos antes de conceder acesso à Internet. Funciona redirecionando todos os pedidos HTTP para o URL do portal até que a autenticação esteja concluída.

A componente voltada para o utilizador do sistema de início de sessão WeChat WiFi. A Purple aloja e gere o Captive Portal como uma sobreposição na nuvem sobre o hardware existente do local.

Walled garden

Uma lista branca de pré-autenticação de endereços IP e domínios que um dispositivo pode aceder antes de concluir o início de sessão no Captive Portal. Necessário para permitir que o dispositivo comunique com os servidores de autenticação do WeChat durante o fluxo de OAuth.

O elemento mais frequentemente mal configurado em implementações WeChat WiFi. Deve ser configurado ao nível do SSID no controlador sem fios.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece autenticação, autorização e contabilização centralizadas para acesso à rede. Após uma troca de OAuth do WeChat bem-sucedida, a Purple envia uma mensagem RADIUS Access-Accept para o ponto de acesso para conceder acesso à Internet.

O protocolo que liga a plataforma de identidade Purple ao hardware de rede do local. As equipas de TI configuram os endereços IP do servidor RADIUS e os segredos partilhados no controlador sem fios.

WeChat Service Account (服务号)

Uma categoria de Conta Oficial do WeChat concebida para empresas, oferecendo acesso total a API, incluindo autorização de página web OAuth 2.0. Aparece como um contacto na lista de conversas do utilizador. Requer registo comercial chinês ou verificação no estrangeiro.

O tipo de conta obrigatório para o início de sessão WeChat WiFi. As contas de subscrição não podem ser utilizadas para este fim.

OpenID

Um identificador exclusivo atribuído pelo WeChat a um utilizador específico para uma Conta Oficial específica. Duas Contas Oficiais diferentes receberão OpenIDs diferentes para o mesmo utilizador.

A chave primária utilizada pelo CRM para identificar e monitorizar utilizadores individuais em sessões de WiFi.

Unionid

Um identificador exclusivo atribuído pelo WeChat a um utilizador específico em todas as Contas Oficiais e Mini Programas registados na mesma conta de plataforma aberta do WeChat. Permite o reconhecimento do utilizador entre produtos.

Relevante para marcas com múltiplos pontos de contacto WeChat (por exemplo, uma cadeia de retalho com um portal WiFi e um Mini Programa de compras) que desejam unificar o perfil do utilizador em todas as interações.

MAC address caching

Uma funcionalidade de rede que armazena o identificador de hardware exclusivo de um dispositivo (endereço MAC) após a autenticação inicial, permitindo que a rede conceda acesso automaticamente em ligações subsequentes sem apresentar novamente o Captive Portal.

Utilizado para melhorar a experiência dos visitantes frequentes. A Purple regista a nova visita para fins analíticos mesmo quando o portal não é apresentado.

Captive Portal Assistant (CPA)

O mini-browser iniciado automaticamente pelo iOS e Android quando detetam uma rede que requer autenticação de Captive Portal. Os CPAs têm funcionalidade limitada e podem não suportar as chamadas de aplicações nativas necessárias para o fluxo de OAuth do WeChat.

As equipas de TI devem testar o fluxo de início de sessão do WeChat especificamente no ambiente CPA e implementar a deteção de JavaScript para redirecionar para o browser completo do sistema, se necessário.

VLAN

Virtual Local Area Network. Um segmento lógico de rede que isola o tráfego de outros segmentos na mesma infraestrutura física. Utilizado para separar o tráfego de WiFi de convidados das redes corporativas ou de POS.

Os atributos RADIUS devolvidos pela Purple podem atribuir convidados autenticados pelo WeChat a uma VLAN específica, cumprindo os requisitos de segmentação de rede PCI DSS.

Exemplos Práticos

Uma marca de retalho de luxo em Londres pretende oferecer WiFi contínuo a turistas chineses, aumentando simultaneamente os seguidores na sua Conta Oficial do WeChat. Atualmente, utilizam pontos de acesso Cisco Meraki e um portal padrão de recolha de e-mails. A sua equipa de TI tem duas semanas para a implementação antes de uma grande campanha do Ano Novo Chinês.

Primeira semana: Registar e verificar uma Conta de Serviço WeChat, caso ainda não exista (aguardar duas a quatro semanas para aprovação da Tencent, pelo que este passo deveria ter sido iniciado antes - se não for o caso, utilizar uma entidade chinesa terceira verificada como medida provisória). Configurar a consola de programador do WeChat com o domínio de callback correspondente ao URL do portal Purple. Na plataforma Purple, ativar o login social do WeChat, introduzir o AppID e o AppSecret, e desenhar a splash page com o WeChat como a principal opção de login. Configurar o redirecionamento pós-autenticação para a página de seguimento da Conta Oficial do WeChat da marca. Segunda semana: No painel da Meraki, atualizar o SSID de convidados para apontar para o URL do portal Purple. Adicionar todos os domínios da API do WeChat ao walled garden da Meraki em Wireless > Access Control. Configurar os detalhes do servidor RADIUS. Testar o fluxo completo de ponta a ponta a partir de um dispositivo iOS e Android. Ativar o caching de MAC para reconhecimento de visitantes frequentes por 30 dias. Entrar em produção.

Comentário do Examinador: Esta abordagem utiliza o hardware Meraki existente sem necessidade de alterações de firmware. O elemento crítico do cronograma é a verificação da conta WeChat - esta deve ser iniciada muito antes do prazo final da campanha. O redirecionamento pós-login para a página de seguimento da Conta Oficial é a decisão de configuração de maior valor, pois converte um login de WiFi único num canal de marketing de longo prazo.

Um estádio com capacidade para 15.000 pessoas está a acolher uma série de eventos internacionais com uma presença significativa de público de língua chinesa. O diretor de TI relata que 35% dos convidados abandonam o formulário de login do WiFi antes de o concluir. A rede utiliza pontos de acesso HPE Aruba geridos através do Aruba Central.

Implementar o Captive Portal da Purple com o WeChat como a principal opção de login social, a par de alternativas por e-mail e SMS. Configurar o perfil do Captive Portal do Aruba Central para redirecionar para a Purple e adicionar os domínios do WeChat à lista de permitidos. Implementar um script de deteção de CPA em JavaScript na splash page para forçar o fluxo OAuth a abrir no browser nativo do sistema, contornando o mini-browser CPA da Aruba. Configurar os atributos RADIUS para atribuir os utilizadores autenticados a uma VLAN de convidados dedicada, isolada da rede operacional do estádio. Definir o tempo limite de sessão para quatro horas para cobrir a duração típica de um evento sem exigir nova autenticação. Após a autenticação, redirecionar os utilizadores para um Mini Programa do WeChat que aloja o programa do evento, resultados ao vivo e um serviço de encomenda de comida.

Comentário do Examinador: O script de deteção de CPA é o principal diferenciador técnico neste caso. Sem ele, a chamada da aplicação WeChat falha no mini-browser e os utilizadores deparam-se com uma experiência com falhas. O redirecionamento para o Mini Programa maximiza o envolvimento pós-autenticação, oferecendo valor imediato e relevante aos adeptos - o que também aumenta a probabilidade de seguirem a Conta Oficial do recinto.

Perguntas de Prática

Q1. O novo início de sessão WeChat WiFi do seu espaço está a falhar. Os convidados tocam no botão WeChat na splash page, mas a página expira antes de a aplicação WeChat abrir. O painel do Cisco Meraki mostra que o SSID está online e o URL do portal Purple está configurado corretamente. Qual é a causa mais provável e como se resolve?

Dica: Considere o acesso à rede que o dispositivo tem antes de concluir a autenticação.

Ver resposta modelo

O walled garden no SSID Meraki está mal configurado. O dispositivo não consegue aceder aos domínios da API do WeChat antes da autenticação, pelo que o handshake OAuth não pode ser iniciado. Resolução: navegue para Wireless > Access Control no painel Meraki, localize a secção Walled Garden e adicione os domínios WeChat necessários, incluindo *.weixin.qq.com, *.wechat.com e *.wx.qq.com. Teste tentando novamente o fluxo de início de sessão a partir de um dispositivo que não se tenha ligado anteriormente ao SSID.

Q2. Um diretor de marketing deseja utilizar a sua Conta de Subscrição WeChat (订阅号) existente para ativar o início de sessão WiFi, uma vez que esta permite a publicação diária de artigos para os seguidores. Pedem-lhe para configurar a integração. Como responde?

Dica: Reveja os níveis de acesso à API para os diferentes tipos de conta WeChat.

Ver resposta modelo

Informe-os de que uma Conta de Subscrição não pode ser utilizada para autenticação WiFi. As APIs de autorização de página web OAuth 2.0 necessárias para a integração do Captive Portal só estão disponíveis para Contas de Serviço (服务号) verificadas. Terão de registar uma Conta de Serviço. Isto requer uma licença comercial chinesa ou uma candidatura no estrangeiro através do processo especial da Tencent, que demora duas a quatro semanas e custa $99 anuais. A Conta de Subscrição pode continuar ativa para publicação de conteúdos; os dois tipos de conta servem propósitos diferentes e podem coexistir.

Q3. Após uma implementação bem-sucedida do WeChat WiFi, a equipa de TI nota que os utilizadores que se autenticaram há três semanas já não aparecem no CRM com dados de visitas atualizados, embora se estejam a ligar à rede. Qual é a causa provável?

Dica: Considere as definições de gestão de sessão configuradas na Purple e a duração da cache MAC.

Ver resposta modelo

A duração da cache MAC está provavelmente definida para um valor inferior a três semanas (por exemplo, 14 dias), pelo que está a ser concedido acesso aos utilizadores recorrentes através da cache MAC sem acionar um novo evento de autenticação ou atualização do CRM. Em alternativa, o token de acesso do WeChat para esses utilizadores expirou e a plataforma não o está a atualizar. Resolução: aumente a duração da cache MAC para 30 dias nas definições de visitante recorrente da Purple e garanta que a configuração de atualização do token está ativa. Confirme também se a Purple está a registar as visitas em cache MAC como eventos de visita recorrente no painel de analítica, mesmo quando o portal não é apresentado.

Q4. O seu espaço opera tanto no Reino Unido como na China continental. Deseja implementar um sistema de autenticação WeChat WiFi unificado. Que obrigações de conformidade deve abordar antes de entrar em funcionamento?

Dica: Aplicam-se dois regimes de privacidade distintos às duas geografias.

Ver resposta modelo

Deve cumprir tanto o GDPR (aplicável a utilizadores no Reino Unido e UE) como a Lei de Proteção de Informações Pessoais da China (PIPL, aplicável a utilizadores na China continental). Os requisitos fundamentais incluem: apresentar um aviso de privacidade claro na splash page antes de iniciar o fluxo OAuth, identificar o responsável pelo tratamento de dados e listar as categorias de dados recolhidos do WeChat, indicar a base jurídica para o tratamento ao abrigo de cada regime (interesses legítimos ou consentimento no GDPR; consentimento na PIPL), disponibilizar um mecanismo para os utilizadores retirarem o consentimento e solicitarem a eliminação, e garantir que existem mecanismos de transferência de dados se os dados de perfil do WeChat fluírem entre jurisdições. Consulte o guia de conformidade GDPR da Purple e o seu consultor jurídico para os requisitos específicos de cada jurisdição.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, impor a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.

Captive Portal Best Practices: Designing for High Conversion and Compliance

Este guia técnico oferece aos gestores de TI, arquitetos de rede e diretores de operações de espaços comerciais um plano completo para implementar portais cativos que equilibram a segurança de rede com uma elevada conversão de utilizadores. Abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até ao design de consentimento em conformidade com o GDPR e à seleção do método de autenticação. Com base na experiência operacional da Purple em mais de 80.000 locais e 440 milhões de inícios de sessão em 2024, cada recomendação é fundamentada em dados reais de implementação.

Como Otimizar Captive Portals para a Máxima Segurança de Rede e Conversão de Utilizadores

Este guia fornece um plano técnico completo para otimizar captive portals em locais empresariais, abrangendo a arquitetura de segmentação de rede, a seleção do método de autenticação, o design de consentimento em conformidade com o GDPR e a otimização da conversão. Foi escrito para gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e organizações do setor público que precisam de equilibrar a segurança de rede com a captura de dados primários (first-party). A Purple opera infraestruturas de captive portal em mais de 80.000 locais com 440 milhões de inícios de sessão em 2024, e as estruturas aqui apresentadas refletem essa experiência operacional.