Saltar para o conteúdo principal
Português

Integrar a Autenticação WeChat com Captive Portals de Wi-Fi de Convidados

Este guia explica como integrar a autenticação WeChat OAuth 2.0 em Captive Portals de Wi-Fi de convidados empresariais. Aborda os requisitos de registo em dupla plataforma, a seleção de âmbito (scope) para a recolha de dados primários (first-party), a imposição de rede via RADIUS Change of Authorization e a conformidade com o GDPR e a PIPL da China. Os operadores de espaços nos setores da hotelaria, retalho e eventos encontrarão passos concretos de implementação, estudos de caso reais e orientações de reforço de segurança para implementar o início de sessão WeChat em Wi-Fi de convidados em grande escala.

📖 8 min de leitura📝 1,966 palavras🔧 2 exemplos práticos4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
COMO CONFIGURAR A AUTENTICAÇÃO WECHAT OAUTH PARA CAPTIVE PORTALS Uma Apresentação Técnica da Purple - Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Bem-vindo. Se é responsável pelo Wi-Fi de convidados num hotel, cadeia de retalho, estádio ou centro de conferências que serve visitantes chineses, esta apresentação é para si. O WeChat tem 1,38 mil milhões de utilizadores ativos mensais, de acordo com os dados de 2024 da Tencent. A esmagadora maioria está na China, mas a plataforma tem também uma pegada internacional significativa – quatro milhões de utilizadores nos Estados Unidos, 12 milhões na Malásia e números crescentes no Sudeste Asiático, Europa e Médio Oriente. Quando um convidado chinês se liga ao seu Wi-Fi e vê uma página de início de sessão apenas com e-mail, Facebook ou um código de voucher, depara-se com um atrito imediato. É muito provável que não tenha um endereço de e-mail local configurado nesse dispositivo. Mas tem quase de certeza o WeChat. Portanto, a questão não é se deve oferecer o início de sessão com o WeChat – é como configurá-lo corretamente, de forma segura e de modo a gerar dados primários (first-party) que possa realmente utilizar. É isso que vamos abordar hoje. Vamos percorrer o fluxo do OAuth 2.0, os dois registos de plataforma de que necessita, a decisão sobre o âmbito (scope) que determina quais os dados que recolhe, o mecanismo de imposição do lado da rede e as considerações de conformidade que importam em 2026. --- ANÁLISE TÉCNICA DETALHADA (aproximadamente 5 minutos) Comecemos pela arquitetura. Um Captive Portal interpeta o tráfego HTTP de um dispositivo não autenticado e redireciona-o para uma página de início de sessão. Essa página de início de sessão é alojada num servidor de portal – localmente ou na nuvem. Quando adiciona o WeChat OAuth, está a inserir um fornecedor de identidade de terceiros nesse fluxo. Eis a sequência. O convidado liga-se ao seu SSID. O ponto de acesso ou controlador sem fios deteta que o dispositivo não tem uma sessão autenticada e redireciona todo o tráfego HTTP para o URL do seu Captive Portal. A página do portal carrega e apresenta as opções de início de sessão – incluindo o WeChat. O convidado toca no início de sessão do WeChat. O servidor do seu portal redireciona o navegador para o endpoint de autorização do WeChat, transmitindo o seu App ID, o URI de redirecionamento, o tipo de resposta 'code' e o âmbito (scope). O WeChat trata da autenticação inteiramente nos seus próprios servidores. Se o convidado já tiver sessão iniciada no WeChat no seu navegador, verá um ecrã de consentimento. Se estiver a utilizar o navegador na aplicação (in-app) do WeChat, a experiência pode ser silenciosa com o âmbito snsapi base – sem qualquer pedido de consentimento. O WeChat redireciona então de volta para o URI de redirecionamento do seu portal com um código de autorização temporário. O servidor do seu portal troca esse código por um token de acesso, transmitindo o seu App ID, App Secret, o código e o tipo de concessão 'authorization_code'. O WeChat devolve um token de acesso, um token de atualização, o Open ID do utilizador e o âmbito concedido. Se tiver solicitado o âmbito snsapi userinfo, pode então fazer uma segunda chamada de API para obter o pseudónimo, o avatar, o género e a cidade do utilizador. Agora, os dois registos de plataforma. É aqui que a maioria das implementações falha. O WeChat tem duas plataformas de programadores distintas. A WeChat Open Platform lida com aplicações web e aplicações móveis. A WeChat Official Accounts Platform lida com contas públicas – o que a maioria dos espaços realmente necessita. Para um Captive Portal que serve convidados dentro do navegador na aplicação (in-app) do WeChat, necessita de uma Conta de Serviço (Service Account) na Official Accounts Platform. Uma Conta de Subscrição (Subscription Account) não funcionará – não tem permissões de autorização de páginas web OAuth. Uma Conta de Serviço tem, e suporta os âmbitos snsapi base e snsapi userinfo. Para um Captive Portal acedido a partir de um navegador móvel padrão fora do WeChat – Chrome no Android, Safari no iOS – necessita de uma Aplicação Web (Website Application) registada na Open Platform. Esta utiliza o âmbito snsapi login e apresenta um código QR que o utilizador digitaliza com a sua aplicação WeChat. Na prática, a maioria das implementações em espaços utiliza ambos. Um convidado no Wi-Fi de um hotel pode abrir o portal no Chrome, ver um código QR, digitalizá-lo com o WeChat e autenticar-se. Ou pode seguir uma ligação no próprio WeChat, aceder ao navegador na aplicação (in-app) e autenticar-se silenciosamente com o snsapi base. Falemos sobre a seleção do âmbito (scope), porque este é um verdadeiro ponto de decisão. O snsapi base devolve apenas o Open ID – um identificador exclusivo para esse utilizador dentro da sua Conta Oficial (Official Account). Não requer qualquer pedido de consentimento do utilizador. A autenticação é invisível para o utilizador. Isto é ideal para convidados frequentes dos quais já tem o perfil criado, ou para espaços onde deseja zero atrito. O snsapi userinfo devolve o Open ID mais o pseudónimo do WeChat, a imagem de perfil, o género, a definição de idioma e a cidade do utilizador. Requer um ecrã de consentimento explícito. A maioria dos utilizadores aceita, mas existe atrito. A escolha certa depende do seu caso de utilização. Para o registo de um convidado pela primeira vez, onde deseja criar um perfil, utilize o snsapi userinfo e combine-o com uma camada de consentimento em conformidade com o GDPR na página do seu portal. Para um convidado frequente que já deu o seu consentimento e cujo perfil já possui, utilize o snsapi base para uma reautenticação silenciosa. Agora, o lado da imposição de rede. Obter um token OAuth prova a identidade, mas não abre automaticamente a rede. Necessita de um mecanismo para traduzir uma autenticação bem-sucedida em acesso à rede. As duas abordagens padrão são o RADIUS Change of Authorization, definido no RFC 3576, e o bypass de endereço MAC. Com o RADIUS CoA, o servidor do seu portal envia um pedido de CoA para o controlador de rede após o OAuth bem-sucedido, e o controlador move o dispositivo da VLAN não autenticada para a VLAN de convidados. Isto funciona com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e a maioria dos controladores de nível empresarial. Com o bypass de MAC, o servidor do portal regista o endereço MAC do dispositivo como um cliente autorizado, e o controlador permite-o. O bypass de MAC é mais simples de implementar, mas menos seguro, porque os endereços MAC podem ser falsificados. A plataforma de Wi-Fi de convidados da Purple lida com ambos os mecanismos. Após a conclusão do WeChat OAuth, a sobreposição na nuvem da Purple envia o sinal apropriado para o hardware subjacente – seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet. O operador do espaço não necessita de gerir essa tradução manualmente. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me apresentar-lhe as cinco coisas que fazem falhar as implementações de Captive Portal com WeChat OAuth. Primeiro: a incompatibilidade do URI de redirecionamento. O WeChat valida o URI de redirecionamento face ao domínio autorizado que registou na plataforma. Se o servidor do seu portal utilizar um subdomínio diferente, um caminho diferente ou HTTP em vez de HTTPS, o fluxo de OAuth falha com o erro 40029 – código inválido. Registe todas as variantes de domínio que utiliza, incluindo ambientes de teste (staging). Segundo: o App Secret no lado do cliente. O seu App Secret nunca deve aparecer no JavaScript do lado do cliente. O seu lugar é no servidor. Se for exposto, qualquer pessoa pode personificar a sua aplicação e fazer chamadas para as APIs do WeChat em seu nome. Terceiro: a falta de proteção CSRF. O parâmetro state no pedido de OAuth existe especificamente para evitar a falsificação de pedidos entre sites (cross-site request forgery). Gere um valor de state criptograficamente aleatório, armazene-o na sessão do utilizador e valide-o quando o WeChat redirecionar de volta. Ignore isto e terá uma vulnerabilidade real. Quarto: a falha na deteção do navegador na aplicação (in-app). O navegador na aplicação do WeChat define uma string de user agent específica que contém 'MicroMessenger'. Se o seu portal não detetar isto e não disponibilizar o fluxo de OAuth correto, os utilizadores terão uma experiência com falhas ou um erro. Quinto: o alinhamento com o GDPR e a PIPL. Se serve visitantes europeus, aplica-se o GDPR. Se serve visitantes chineses, aplica-se a Lei de Proteção de Informações Pessoais da China – PIPL. Ambas exigem uma base jurídica para o tratamento, limitação clara da finalidade e minimização de dados. O snsapi base é mais fácil de justificar ao abrigo dos princípios de minimização de dados do que o snsapi userinfo. Independentemente do que recolher, documente a sua base jurídica e o seu período de retenção. --- PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Posso utilizar o início de sessão do WeChat num portal que também oferece início de sessão por e-mail e SMS? Sim. A maioria das plataformas de portal empresarial, incluindo a Purple, suporta múltiplos métodos de autenticação na mesma página do portal. O WeChat OAuth funciona no iOS? Sim. O início de sessão do WeChat no Safari no iOS funciona através do fluxo de código QR ou do fluxo de redirecionamento. A própria aplicação WeChat trata da autenticação. O que acontece se a API do WeChat estiver indisponível? Implemente uma alternativa (fallback). Se a chamada de API do WeChat expirar ou devolver um erro, redirecione o utilizador para um método de início de sessão alternativo. Posso utilizar o Open ID como um identificador de cliente persistente? Dentro da sua Conta Oficial (Official Account), sim. Para a resolução de identidade entre contas em múltiplas propriedades, utilize o UnionID em vez disso. --- RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Para resumir. A autenticação WeChat OAuth para Captive Portals é um exercício de registo em duas plataformas, uma decisão de âmbito (scope), uma integração de imposição de rede e uma revisão de conformidade. Acerte nestas quatro coisas e terá um método de início de sessão que serve mais de mil milhões de potenciais visitantes com zero atrito de palavra-passe. Os próximos passos práticos: determine se os seus visitantes encontram o portal dentro do navegador na aplicação (in-app) do WeChat ou num navegador móvel padrão. Decida sobre o âmbito – snsapi base para convidados frequentes, snsapi userinfo para o registo pela primeira vez com consentimento. Confirme que o seu hardware de rede suporta RADIUS CoA. Reveja o seu aviso de privacidade face ao GDPR e à PIPL. Teste o URI de redirecionamento, a validação do parâmetro state e a deteção do navegador na aplicação antes de avançar para o ambiente de produção (go-live). Se deseja ver como a Purple lida com o WeChat OAuth como parte de uma plataforma mais ampla de Wi-Fi de convidados e análise – em 80 000 espaços e 440 milhões de inícios de sessão em 2024 – visite purple.ai ou fale com a sua equipa de conta. Obrigado por ouvir. --- FIM DA APRESENTAÇÃO

header_image.png

摘要

当中国访客连接到您的企业网络并遇到一个仅提供电子邮件、Facebook或凭证代码的 Captive Portal 时,您会立即产生摩擦。根据腾讯2024年的数据,微信拥有13.8亿月活跃用户。集成微信登录 guest wifi 功能并不是一种款待便利,而是在没有摩擦的情况下捕获该人群第一方数据的技术要求。

本指南详细介绍了将微信 OAuth 2.0 身份验证集成到 captive portals 的技术架构。它解释了支持标准移动浏览器和微信应用内浏览器所需的双平台注册,评估了用于数据收集的 snsapi_basesnsapi_userinfo 作用域之间的权衡,并概述了如何使用 RADIUS 授权变更 (CoA) 或 MAC 身份验证旁路来强制网络访问。它还涵盖了在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 基础设施中大规模部署此功能所需的安全配置和合规性指令——GDPR 和中国《个人信息保护法》(PIPL)。

技术深度剖析:微信 OAuth 2.0 架构

Captive Portal 会拦截来自未验证设备的 HTTP 流量,并将其重定向到托管在门户服务器上的登录页面。添加微信身份验证会使用 OAuth 2.0 协议将第三方身份验证提供商插入到此流程中,该协议与 Google、Microsoft Entra ID 和 Okta 用于联合身份验证的标准相同。

oauth_flow_diagram.png

认证流程的操作如下:访客连接到 SSID。接入点或无线控制器检测到未认证的会话,并将 HTTP 流量重定向到 Captive Portal URL。访客在 Portal 页面上选择微信登录。Portal 服务器将浏览器重定向到 open.weixin.qq.com 的微信授权端点,并传递 AppID、重定向 URI、code 的响应类型以及请求的 Scope。微信在其自己的服务器上处理认证。如果访客在微信内置浏览器中使用 snsapi_base Scope,则认证是无感知的——不会出现授权同意提示。如果使用 snsapi_userinfo,微信会显示一个授权同意页面。随后,微信将带着临时授权码重定向回 Portal 的重定向 URI。Portal 服务器通过调用 api.weixin.qq.com/sns/oauth2/access_token 并传递 AppIDAppSecret、该授权码以及 authorization_code 的授权类型,来将此授权码交换为 Access Token。微信将返回 Access Token、Refresh Token、用户的 OpenID 以及已授予的 Scope。如果授予了 snsapi_userinfo,服务器会发起第二次 API 调用,以获取用户的昵称、头像、性别和城市。

双平台注册要求

大多数实施方案都在注册阶段失败。微信运营着两个独立的开发者平台,而企业级部署通常两者都需要。

平台 URL 所需账号类型 支持的 Scope 浏览器环境
公众平台 mp.weixin.qq.com 服务号 snsapi_base, snsapi_userinfo 微信内置浏览器
开放平台 open.weixin.qq.com 网站应用 snsapi_login 标准移动浏览器

对于在微信内置浏览器内访问 Portal 的访客,您需要在公众平台上拥有一个服务号。订阅号将无法工作——它缺少 OAuth 网页授权权限。对于从 Android 上的 Chrome 或 iOS 上的 Safari 访问 Portal 的访客,您需要在开放平台上拥有一个网站应用,该应用使用 snsapi_login Scope 并显示一个二维码供用户扫描。

在实际操作中,大多数场所部署都会同时使用两者。酒店的访客可能会在 Chrome 中打开 Portal,看到一个二维码,用微信扫描它并进行认证。或者他们可能会直接点击微信内的链接,进入内置浏览器,并通过 snsapi_base 进行无感知认证。

Scope 选择:数据获取 vs. 用户摩擦

scope_comparison.png

您请求的 Scope 决定了您收集的数据以及访客体验到的摩擦。这是一个涉及合规性影响的实际决策点。

snsapi_base 仅返回 OpenID——即该用户在您公众号内的唯一标识符。它不需要用户同意授权提示。身份验证对访客是无感知的。适用于您已拥有其个人资料的返店访客,或者在您优先考虑无摩擦接入的场景。在 GDPR 和 PIPL 数据最小化原则下,snsapi_base 更容易证明其合理性。

snsapi_userinfo 返回 OpenID 以及用户的昵称、头像、性别和城市。它需要一个明确的授权同意页面。适用于需要建立个人资料的首次访客注册,并配合您 Portal 页面上符合合规要求的授权同意层。

跨门店部署的 UnionID

OpenID 针对用户与特定公众号的组合是唯一的。一家拥有 20 家门店且每家门店都有自己公众号的酒店集团,对于同一位访客会看到 20 个不同的 OpenID。UnionID 解决了这个问题。它是一个单一标识符,代表同一开放平台账号下链接的所有公众号和应用中的用户。将您的公众号链接到您的开放平台账号,OAuth 响应中就会返回 UnionID。这是跨门店访客识别的基础。

实施指南

网络强制执行机制

获取 OAuth 令牌仅能证明身份,并不能打开网络。您必须向控制器发送信号以允许流量通过。

RADIUS 授权变更 (CoA)(在 RFC 3576 中定义)是推荐的企业级方法。OAuth 验证成功后,Portal 服务器向网络控制器发送 CoA 请求。控制器将设备从认证前 VLAN 移动到访客 VLAN。这适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。

MAC 认证绕过 (MAB) 将设备的 MAC 地址作为已授权客户端注册到 RADIUS 数据库中。控制器根据该 MAC 允许访问。MAB 较易实施,但并不可靠:现代 iOS 和 Android 设备默认会随机化 MAC 地址,从而在重新连接时中断会话关联。

Purple 的 Guest WiFi 平台可自动完成此转换。微信 OAuth 完成后,Purple 的云端覆盖网络向底层硬件发送相应的 CoA 或 MAB 信号,从而免去了手动配置 VLAN 的麻烦。

安全配置

以下三项配置是不容妥协的。

  1. 保护 AppSecret。 AppSecret 绝不能出现在客户端 JavaScript 中。它必须保留在您的服务器上。如果泄露,攻击者可以冒充您的应用程序并代表您调用微信 API。
  2. 实施 CSRF 防护。 生成一个加密随机的 state 值,将其存储在用户会话中,并在微信重定向返回时进行验证。这可以防止 RFC 6749 中定义的跨站请求伪造攻击。
  3. 注册所有重定向 URI 变体。 微信会根据您注册的域名验证重定向 URI。请注册您使用的每一个子域名和路径变体(包括暂存环境),以防止出现 40029 错误(无效的代码)。

应用内浏览器检测

微信的应用内浏览器会设置包含 MicroMessenger 的用户代理(user agent)字符串。您的 Captive Portal 必须检测此字符串并进行相应路由:应用内浏览器使用公众号流程,标准浏览器使用开放平台二维码流程。如果未能检测到该字符串,会导致体验中断或身份验证错误。

hotel_wechat_wifi.png

最佳实践与合规性

GDPR 合规性

如果您服务于欧洲访客或在欧洲运营,GDPR 适用于您通过微信 OAuth 收集的数据。您必须确定合规的处理依据——通常是征得同意或合法利益。在进行身份验证之前,您必须在 Captive Portal 上提供清晰的隐私声明。您必须响应主体访问请求和删除请求。有关详细的合规框架,请参阅 合规手册:GDPR 与访客 WiFi 数据隐私

PIPL 合规性

当您处理中国公民的个人数据时,中国《个人信息保护法》(PIPL)适用。与 GDPR 类似,PIPL 要求明确的目的限制、数据最小化以及书面的合法依据。在数据最小化原则下,snsapi_basesnsapi_userinfo 更容易证明其合理性。无论您收集什么数据,请在上线前记录您的法律依据和保存期限。

网络隔离

使用 VLAN 隔离将访客 WiFi 流量与您的企业网络隔离开来。通过微信验证的访客应接入专用的访客 VLAN,且仅能访问互联网——无法访问内部系统。这符合 PCI DSS 对持卡人数据环境隔离的要求以及一般的企业安全实践。有关隔离架构的更多信息,请参阅 带宽管理:2026年实用指南

备用身份验证

如果微信的 API 不可用,您的门户必须重定向到替代的登录方式。不要让访客面对空白屏幕。提供电子邮箱或短信的备用方案可确保连贯性。这对于 交通运输医疗保健 环境中的场所尤为重要,在这些环境中,网络连接是一项服务义务。

真实案例研究

酒店业:奢华酒店集团

伦敦的一家拥有 400 间客房的奢华酒店接待了大量来自中国大陆的宾客。他们原有的 Captive Portal 要求提供电子邮件地址和短信验证。中国手机号码经常无法收到来自欧洲运营商的短信,而且许多宾客的设备上没有配置本地电子邮箱。这导致 Portal 的流失率高达 60%。

该酒店在公众号平台注册了服务号,并在开放平台注册了网站应用。Portal 检测到 MicroMessenger 用户代理,并为应用内浏览器用户触发 snsapi_base——在不到三秒的时间内将他们连接,且无需授权提示页面。通过 Chrome 或 Safari 访问的宾客则会看到一个二维码。在后续入住时,系统会识别出相同的 OpenID,并对宾客进行静默免密认证。酒店的 CRM 系统会记录该宾客的再次到访,从而实现有针对性的入店前沟通。有关在酒店环境中部署 WiFi 的更多信息,请参阅 酒店行业

零售:购物中心分析

一家大型购物中心希望获取中国消费者的受众特征数据,以辅助招商组合和营销决策。他们需要了解客源城市、性别和到访频率。此时仅靠 snsapi_base 远远不够——他们需要 snsapi_userinfo。Portal 会请求完整的 userinfo 作用域。宾客会看到微信授权提示页面,并点击允许。该购物中心与 Purple 的 WiFi Analytics 集成的分析平台接收到了经过验证的受众特征数据流。在周六下午,40% 的 WiFi 用户来自特定区域。该数据直接决定了应该接洽哪些品牌来举办快闪活动。有关零售 WiFi 部署的更多信息,请参阅 零售行业

故障排查与风险规避

微信 OAuth Captive Portal 部署中最常见的五种故障模式如下:

重定向 URI 不匹配(错误码 40029)。 微信会根据已注册的域名验证重定向 URI。任何子域名、路径或协议的不匹配都会导致 code 交换失败。请注册所有变体,包括暂存(staging)环境。

AppSecret 泄露。 将 AppSecret 嵌入在客户端代码中是最严重的安全错误。请将所有 token 交换逻辑转移到服务器端。

缺少 CSRF 保护。 忽略 state 参数验证会使 Portal 易受跨站请求伪造攻击。请为每个会话生成一个加密的随机值,并在回调时进行验证。

应用内浏览器检测失败。 未能在用户代理中检测到 MicroMessenger 意味着应用内浏览器用户将被提供错误的 OAuth 流程,从而导致报错。

MAC地址随机化破坏MAB会话。 现代移动操作系统会随机化MAC地址。使用基于MAB强制执行的访客在重新连接时将丢失其会话。升级到RADIUS CoA以实现可靠的会话管理。有关安全WiFi配置的指导,请参阅 什么是安全WiFi:2026年企业基本指南

投资回报率(ROI)与业务影响

部署微信登录访客WiFi功能具有三个可衡量的影响。

提高身份验证率。 消除短信验证失败点和电子邮件输入要求,可以提高成功连接的中国访客比例。对于不支持微信的Captive Portal,60%的流失率是一个现实的基准线。

第一方数据质量。 经微信验证的个人资料包括一个经过验证的OpenID,并且通过 snsapi_userinfo,可以直接获取来自该社交平台的受众特征属性。这些数据可以注入分析平台,以推动定向营销,而无需依赖第三方Cookie。

减少支持开销。 无缝登录减少了前台和IT支持人员处理国际访客连接故障排除的呼叫量。

Purple在超过80,000个场所中运营,并在2024年处理了4.4亿次登录(Purple内部数据)。该平台已通过ISO 27001认证,符合GDPR和CCPA,并保持99.999%的在线率。对于 零售酒店餐饮 行业的场所,微信身份验证将网络从成本中心转变为可靠的第一方数据采集渠道。

Definições Principais

Captive portal

Uma página web que interpeta o tráfego HTTP de um dispositivo não autenticado e exige que o utilizador interaja com ela antes que o acesso à rede seja concedido.

A interface principal onde a opção de início de sessão do WeChat é apresentada ao convidado. O servidor do portal aloja esta página e orquestra o fluxo OAuth.

OAuth 2.0

Um protocolo de autorização padrão da indústria (RFC 6749) que permite a uma aplicação de terceiros obter acesso limitado a um serviço HTTP em nome de um utilizador.

O protocolo subjacente que o WeChat utiliza para transmitir tokens de autenticação para o servidor do portal sem expor as credenciais do utilizador. O mesmo protocolo utilizado pelo Microsoft Entra ID, Okta e Google Workspace.

OpenID

Um identificador alfanumérico exclusivo atribuído a um utilizador específico do WeChat para uma Conta Oficial específica.

Utilizado como a chave primária para identificar convidados que regressam na base de dados de análise de WiFi. Altera por Conta Oficial (Official Account) – utilize o UnionID para reconhecimento entre propriedades.

UnionID

Um identificador único do WeChat que representa um utilizador em todas as Contas Oficiais e aplicações associadas à mesma conta da Open Platform.

Essencial para grupos hoteleiros, cadeias de retalho e operadores de estádios com múltiplos espaços que necessitam de reconhecer o mesmo convidado em todo o seu património.

RADIUS CoA (Change of Authorization)

Uma extensão ao protocolo RADIUS (RFC 3576) que permite a um servidor RADIUS alterar dinamicamente os atributos de autorização de uma sessão ativa.

O método seguro utilizado para mover o dispositivo de um convidado de uma VLAN de pré-autenticação isolada para a VLAN de internet ativa após um início de sessão bem-sucedido no WeChat. Suportado por Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

snsapi_base

Um âmbito (scope) de OAuth do WeChat que devolve apenas o OpenID do utilizador e não requer qualquer pedido de consentimento ao utilizador.

O âmbito (scope) recomendado para a reautenticação de convidados frequentes. Mais fácil de justificar ao abrigo dos princípios de minimização de dados do GDPR e da PIPL.

snsapi_userinfo

Um âmbito (scope) de OAuth do WeChat que devolve o OpenID, o pseudónimo, o avatar, o género e a cidade do utilizador, e exige um ecrã de consentimento explícito.

Utilizado para o registo de convidados pela primeira vez, quando são necessários dados demográficos para análise. Requer uma base jurídica documentada ao abrigo do GDPR e da PIPL.

PIPL (Personal Information Protection Law)

A legislação abrangente de privacidade de dados da China, em vigor desde novembro de 2021, que regula o tratamento de informações pessoais de pessoas singulares localizadas na China.

Aplica-se quando os espaços tratam dados de cidadãos chineses através do WeChat OAuth. Exige consentimento claro, limitação da finalidade, minimização de dados e um mecanismo de eliminação.

AppSecret

Uma chave criptográfica confidencial emitida pelo WeChat durante o registo da aplicação, utilizada para autenticar chamadas de API a partir do servidor do portal.

Deve ser armazenado exclusivamente no lado do servidor. A exposição em JavaScript do lado do cliente permite que atacantes personifiquem a aplicação e façam chamadas maliciosas para as APIs do WeChat.

Exemplos Práticos

Um hotel de luxo com 400 quartos em Londres tem uma taxa de abandono do portal de 60% entre os hóspedes da China continental. O portal atual exige verificação por e-mail e SMS. O Diretor de TI precisa de implementar a autenticação WeChat, mantendo a conformidade com o GDPR e a segurança da rede.

Passo 1: Registar uma Conta de Serviço (Service Account) na WeChat Official Accounts Platform (mp.weixin.qq.com) e uma Aplicação Web (Website Application) na WeChat Open Platform (open.weixin.qq.com). Passo 2: Configurar o portal para detetar a string de user agent do MicroMessenger. Se for detetada, acionar o fluxo OAuth snsapi_base para autenticação silenciosa. Se não for detetada, apresentar o fluxo de código QR. Passo 3: Adicionar um aviso de privacidade em conformidade com o GDPR e uma caixa de seleção de consentimento à página do portal antes que o botão de início de sessão do WeChat fique ativo. O aviso deve indicar: dados recolhidos (apenas OpenID), finalidade (acesso ao Wi-Fi de convidados e reconhecimento de visitas de retorno) e período de retenção. Passo 4: Após a troca bem-sucedida do token OAuth, o servidor do portal emite um pedido RADIUS CoA para o controlador Cisco Meraki, movendo o dispositivo do convidado da VLAN de pré-autenticação para a VLAN de convidados segmentada. Passo 5: Armazenar o OpenID associado ao endereço MAC do dispositivo na base de dados de convidados. Nas visitas subsequentes, o OpenID de retorno aciona a reautenticação silenciosa.

Comentário do Examinador: Esta abordagem aborda corretamente os requisitos técnicos e de conformidade. A utilização do snsapi_base alinha-se com os princípios de minimização de dados do GDPR, reduzindo o risco jurídico e eliminando o ponto de falha da verificação por SMS. O RADIUS CoA garante uma segmentação de rede segura e automatizada. A caixa de seleção de consentimento cumpre o requisito do GDPR de uma base jurídica documentada. A decisão fundamental é a escolha do snsapi_base em detrimento do snsapi_userinfo – o hotel não necessita de dados demográficos para este caso de utilização, pelo que a sua recolha introduziria obrigações de conformidade desnecessárias.

Um centro comercial pretende recolher dados de género e cidade de compradores chineses através do Wi-Fi de convidados para alimentar a sua plataforma de análise. Atualmente, utilizam o MAC Authentication Bypass para o seu portal existente, que corre em hardware HPE Aruba.

Passo 1: Registar uma Conta de Serviço na WeChat Official Accounts Platform. Passo 2: Configurar o portal para utilizar o âmbito (scope) snsapi_userinfo para obter o género e a cidade. Passo 3: Adicionar um ecrã de consentimento claro que explique a troca de valor: Wi-Fi gratuito em troca do acesso aos dados do perfil. O consentimento deve ser explícito e granular ao abrigo do GDPR e da PIPL. Passo 4: Após a autenticação, o servidor do portal regista o endereço MAC do dispositivo na base de dados RADIUS. O controlador HPE Aruba permite o acesso via MAB. Passo 5: Documentar a base jurídica (consentimento), a finalidade (análise do espaço e marketing) e o período de retenção (24 meses) num registo de tratamento de dados. Disponibilizar um mecanismo de eliminação de dados.

Comentário do Examinador: O âmbito snsapi_userinfo obtém corretamente os dados demográficos necessários. No entanto, a dependência do MAB introduz um risco operacional significativo: o iOS 14+ e o Android 10+ randomizam os endereços MAC por predefinição, o que significa que os convidados perderão a sua sessão autenticada ao voltarem a ligar-se e serão forçados a reautenticar-se. O centro comercial deve planear a migração para RADIUS CoA em HPE Aruba para resolver este problema. A documentação de conformidade com a PIPL não é opcional – é um requisito legal para o tratamento de dados de cidadãos chineses, independentemente de onde o espaço esteja localizado.

Perguntas de Prática

Q1. Está a implementar um Captive Portal num estádio. Pretende que os detentores de bilhetes de época frequentes que já se tenham autenticado anteriormente se liguem automaticamente sem verem um ecrã de início de sessão nas visitas subsequentes. Qual o âmbito (scope) de OAuth do WeChat que deve implementar para o fluxo de reautenticação e porquê?

Dica: Considere qual o âmbito (scope) que permite a autenticação silenciosa sem solicitar o consentimento do utilizador em cada visita.

Ver resposta modelo

Utilize o snsapi_base. Este âmbito (scope) devolve apenas o OpenID do utilizador e não requer qualquer pedido de consentimento, permitindo a reautenticação silenciosa. Na primeira visita, armazena o OpenID no perfil do adepto. Nas visitas subsequentes, o portal deteta o OpenID de retorno via snsapi_base, confirma a correspondência e emite um RADIUS CoA para conceder o acesso – tudo sem que o adepto veja um ecrã de início de sessão. Isto também se alinha com os princípios de minimização de dados do GDPR, uma vez que não está a recolher dados adicionais para além do necessário para a função de autenticação.

Q2. Durante os testes, o seu portal redireciona com sucesso para o WeChat, o utilizador concede o consentimento e o WeChat redireciona de volta para o seu portal. No entanto, os registos do servidor do portal mostram o erro de OAuth 40029 (código inválido). Qual é o erro de configuração mais provável e como o resolve?

Dica: O WeChat valida rigorosamente o destino para onde envia o código de autorização face a uma lista registada.

Ver resposta modelo

A causa mais provável é uma incompatibilidade do URI de redirecionamento. O WeChat valida o URI de redirecionamento no pedido de OAuth face ao domínio autorizado registado na plataforma. Se o servidor do portal utilizar um subdomínio diferente, um caminho diferente ou HTTP em vez de HTTPS, a troca de código falha com o erro 40029. Resolução: inicie sessão na plataforma de programadores do WeChat, navegue até às definições da sua Conta de Serviço (Service Account) ou Aplicação Web (Website Application) e adicione todas as variantes de URI de redirecionamento que utiliza – incluindo subdomínios de teste (staging), caminhos diferentes e versões HTTPS. Certifique-se de que o parâmetro redirect_uri no seu pedido de OAuth corresponde exatamente a um dos URIs registados, incluindo a codificação de URL.

Q3. Um gestor de TI propõe incorporar o AppSecret do WeChat no JavaScript de front-end do Captive Portal para acelerar o processo de troca de tokens diretamente a partir do navegador do cliente. Por que razão deve rejeitar esta proposta e qual é a arquitetura correta?

Dica: Considere as implicações de segurança de expor chaves criptográficas em código acessível publicamente.

Ver resposta modelo

Rejeite esta proposta. O AppSecret é uma chave criptográfica confidencial. Incorporá-lo em JavaScript do lado do cliente expõe-no a qualquer pessoa que visualize o código-fonte da página ou intersete o tráfego de rede. Um atacante pode extrair o AppSecret e personificar a aplicação, fazendo chamadas para as APIs do WeChat em nome do espaço, acedendo aos dados dos utilizadores e potencialmente comprometendo toda a Conta Oficial (Official Account). A arquitetura correta: a página do portal do lado do cliente recebe o código de autorização do WeChat e encaminha-o para o servidor do portal através de uma chamada de API do lado do servidor. O servidor do portal guarda o AppSecret numa variável de ambiente segura e realiza a troca de tokens com a API do WeChat. O AppSecret nunca sai do servidor.

Q4. Um grupo hoteleiro com 15 propriedades na Europa pretende criar um perfil de convidado unificado que reconheça quando o mesmo hóspede chinês fica alojado em propriedades diferentes. Cada propriedade tem a sua própria Conta Oficial (Official Account) do WeChat. Que identificador do WeChat devem utilizar e que configuração é necessária?

Dica: O OpenID é específico da conta. Existe um identificador diferente concebido para o reconhecimento entre contas.

Ver resposta modelo

Utilize o UnionID. O OpenID muda por Conta Oficial (Official Account), pelo que o mesmo convidado terá 15 OpenIDs diferentes em 15 contas. O UnionID é um identificador estável que representa um utilizador em todas as Contas Oficiais e aplicações associadas à mesma conta da Open Platform. Configuração necessária: associar as 15 Contas Oficiais a uma única conta da WeChat Open Platform. Uma vez associadas, o UnionID é devolvido na resposta de OAuth quando o utilizador tiver autorizado pelo menos uma das contas associadas. Utilize o UnionID como chave primária no CRM de convidados para criar perfis entre propriedades e reconhecer convidados frequentes, independentemente da propriedade que visitem.

Continue a ler esta série

Conceber Captive Portals B2B: Recolha de Nome Registado e Dados da Empresa

Este guia fornece aos gestores de TI e operadores de espaços uma estrutura técnica independente de fornecedor para conceber Captive Portals B2B. Detalha como estruturar os campos de registo para capturar o nome registado e os dados da empresa, garantindo elevadas taxas de conclusão, mantendo a conformidade com o GDPR e construindo inteligência ao nível da conta.

Ler o guia →

Arquitetura de Captive Portal: Segurança, Redirecionamento e Boas Práticas

Uma referência técnica definitiva sobre arquitetura de captive portal empresarial. Este guia analisa o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implementam redes WiFi de convidados seguras e ricas em dados.

Ler o guia →

Otimizar Captive Portals B2B: Capturar Nomes de Empresas e Dados Profissionais

Este guia explica como os gestores de TI, arquitetos de rede e diretores de operações de espaços podem configurar Captive Portals B2B para capturar dados profissionais - nomes de empresas, cargos e endereços de email profissionais - no momento do login no WiFi. Abrange toda a arquitetura técnica, desde o isolamento de VLAN e autenticação RADIUS até à integração de CRM com Salesforce e HubSpot, com conformidade GDPR e CCPA integrada. Os espaços que implementam isto corretamente transformam a sua rede WiFi de convidados num motor de dados primários e num sistema automatizado de geração de leads.

Ler o guia →