整合微信 WiFi 驗證：針對亞太地區顧客的 Captive Portal 登入引導

執行摘要

對於在亞太地區營運或服務全球中國遊客的企業場域而言，WeChat WiFi 驗證已不再是可有可無的選項。截至 2025 年，WeChat 的月活躍用戶數已達 14.1 億（來源：騰訊），是中國消費者最主要的數位身分識別工具。當訪客連線到您的 SSID，卻只看到電子郵件或 Facebook 登入選項時，會立即面臨使用阻礙。他們幾乎肯定擁有 WeChat，但也幾乎肯定沒有在該裝置上設定當地的電子郵件地址。

本指南詳細介紹如何將 WeChat OAuth 2.0 整合至 Captive Portal 中。我們涵蓋了騰訊要求的兩種不同平台註冊、決定您收集哪些第一方數據的權限範圍（Scope）決策，以及將成功的 OAuth 交換轉換為實際網路存取的 RADIUS 授權變更（CoA）機制。我們也處理了 GDPR 與中國《個人信息保護法》（PIPL）重疊的合規要求。

Purple 的 Guest WiFi 平台可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上自動執行網路強制執行層。Purple 在全球 80,000 多個實體場域運作，並在 2024 年記錄了 4.4 億次登入（Purple 內部數據）。

技術深度解析

OAuth 2.0 流程

Captive Portal（一種攔截未驗證裝置之 HTTP 流量的網頁式驗證閘道器）會將訪客重新導向至託管在入口網站伺服器（地端或雲端）上的登入頁面。加入 WeChat OAuth 會將騰訊的身分識別基礎架構插入該流程中。

其執行順序如下：訪客與 SSID 建立關聯。無線控制器偵測到未驗證工作階段的存在，並將所有 HTTP 流量重新導向至 Captive Portal URL。入口網站頁面載入並呈現登入選項（包括 WeChat）。訪客選擇 WeChat。入口網站伺服器建構一個重新導向至 WeChat 位於 open.weixin.qq.com 的授權端點，並傳遞四個參數：AppID、重新導向 URI、設為 code 的回應類型，以及要求的權限範圍（Scope）。

WeChat 完全在其自身的基礎架構上驗證使用者。如果訪客已透過 WeChat 應用程式內瀏覽器登入，snsapi_base 權限範圍允許進行無感知的靜默驗證。WeChat 會重導向回 Captive Portal 註冊的重導向 URI，並附帶一個短期授權碼。Portal 伺服器透過呼叫 api.weixin.qq.com/sns/oauth2/access_token 並帶入 AppID、AppSecret、授權碼和授權類型，來將此授權碼交換為存取權杖。WeChat 會傳回存取權杖、重新整理權杖、使用者的 OpenID 以及已授予的權限範圍。如果請求了 snsapi_userinfo，則會對 api.weixin.qq.com/sns/userinfo 進行第二次 API 呼叫，以取得使用者的暱稱、個人頭像、性別和城市。

平台註冊：最常導致部署失敗的關鍵決策

騰訊營運著兩個獨立的開發者平台，選擇錯誤的平台是導致實作失敗最常見的原因。

公眾平台上的訂閱號將無法運作。它缺乏 OAuth 網頁授權權限。只有服務號才具備這些權限。

大多數位於 餐旅餐飲 和 零售 領域的企業部署都會同時實作這兩種註冊。飯店的訪客可能會在 Chrome 中開啟 Captive Portal，使用 WeChat 掃描 QR code，並透過開放平台流程進行驗證。或者，他們可能會點擊 WeChat 內部的連結，進入應用程式內瀏覽器，並透過公眾平台流程進行靜默驗證。這兩條路徑都必須處理。

權限範圍選擇與資料收集

OAuth 權限範圍是一項真正的架構決策，而非單純的設定細節。它決定了使用者體驗到的阻力，以及您的 WiFi Analytics 平台所接收的資料。

snsapi_base 僅傳回 OpenID — 這是該使用者在您的服務號中穩定且唯一的識別碼。它不需要使用者同意提示，驗證過程是無形的。這適用於您已擁有其設定檔的回訪訪客，或適用於體育場館和交通樞紐等以連線速度為首要考量的高吞吐量環境。 snsapi_userinfo 會傳回 OpenID 以及暱稱、個人頭像、性別、語言設定和城市。這會觸發一個明確的同意畫面。請在首次訪客註冊時使用此功能，以建立第一方數據檔案，並在 Captive Portal 頁面上搭配符合 PIPL 和 GDPR 規範的同意層。

實用規則：追求速度使用 snsapi_base，追求數據使用 snsapi_userinfo。您可以透過檢查使用者的 OpenID 是否已存在於您的資料庫中來同時實作這兩者。如果已存在，請請求 snsapi_base；如果不存在，請請求 snsapi_userinfo。

網路執行：RADIUS CoA 與 MAC 繞過

OAuth 權杖可證明身分，但它不會開啟網路。必須有另一個獨立機制將成功的驗證轉換為網路原則的變更。

定義於 RFC 3576 的 RADIUS 授權變更 (CoA) 是標準方法。在 Captive Portal 伺服器收到有效的 OAuth 權杖後，它會向無線控制器傳送 CoA 請求。控制器會更新工作階段，將裝置從圍牆花園 VLAN（僅允許 Captive Portal 流量的受限網路區段）移至完整的訪客 VLAN。這適用於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。

MAC 位址繞過會在 OAuth 成功後，將裝置的 MAC 位址註冊為已授權的用戶端。接著，控制器會允許來自該位址的流量，而無需進一步挑戰。這較易於實作，但存在兩個風險：MAC 位址可能會被偽造，且 iOS 14 和 Android 10 起預設使用隨機 MAC 位址，這會在重新連線時破壞該機制。

對於任何重視安全性的部署，RADIUS CoA 才是正確的選擇。如需更多關於保護訪客網路安全的資訊，請參閱 什麼是安全 WiFi：2026 年企業必備指南 以及 企業 WiFi 安全：2026 年完整指南 。

實作指南

部署前檢查清單

在撰寫任何設定之前，請先完成以下五個步驟。

第一，確定存取情境。調查您的場域，並確認訪客是在微信 App 內瀏覽器、標準行動瀏覽器，還是兩者中遇到 Captive Portal。答案將決定您的平台註冊需求。

第二，在正確的平台上註冊。對於 App 內瀏覽器存取，請在微信公眾平台建立服務號。對於標準瀏覽器存取，請在微信開放平台註冊網站應用程式。記下各自的 AppID 和 AppSecret。

第三，設定您的重新導向 URI。註冊您 Captive Portal 使用的每個網域和子網域，包括預備環境。微信會執行精確比對驗證，不相符將傳回錯誤 40029。

第四，實作伺服器端權杖交換。AppSecret 絕不能出現在用戶端程式碼中。建立一個伺服器端端點，用以接收授權碼、將其交換為權杖，並僅傳回您 Captive Portal 所需的數據。

第五，實作 state 參數以防範 CSRF 攻擊。請生成一個加密隨機值，將其儲存在使用者工作階段中，在 OAuth 請求中傳遞，並在返回時進行驗證。

Ruckus SmartZone 的設定步驟

對於運行 Ruckus SmartZone 的場域，WeChat Portal 設定位於「Services and Profiles」（服務與設定檔），接著是「Hotspots and Portals」（熱點與 Portal），然後是「WeChat」分頁。您需要設定驗證 URL（您的 Portal 伺服器的 WeChat 回呼端點）、DNAT 目的地（處理未驗證用戶端重導向的伺服器）以及寬限期（已中斷連線的使用者在無需重新驗證的情況下可以重新連線的時間視窗，預設為 60 分鐘）。您還需要設定 Walled Garden 白名單，以允許在驗證階段與 WeChat 的 API 端點進行流量傳輸。另請參閱 逐步指南：為訪客 WiFi Captive Portals 設定 Ruijie 無線控制器 以瞭解類似的控制器設定模式。

應用程式內瀏覽器偵測

WeChat 的應用程式內瀏覽器會設定包含 MicroMessenger 的 User Agent 字串。您的 Portal 必須偵測此字串並提供適當的 OAuth 流程。如果存在 MicroMessenger，請使用公眾號（Official Accounts）流程。如果不存在，請使用開放平台（Open Platform）的 QR code 流程。未能正確偵測此字串會導致體驗中斷或驗證錯誤。

最佳實踐

資料最小化與雙重框架合規性

GDPR（適用於歐洲訪客）和 PIPL（適用於中國公民）均要求處理個人資料必須有合法依據、明確的目的限制以及資料最小化。相較於 snsapi_userinfo，snsapi_base 範圍在資料最小化原則下更容易證明其合理性。當您確實透過 snsapi_userinfo 收集人口統計資料時，請記錄您的法律依據、保留期限以及您與騰訊的資料處理協議。

自 2021 年 11 月起實施的 PIPL 要求對敏感個人資訊取得明確同意，並規定中國境外的資料處理者必須實施同等的保護標準。如果您的 Portal 伺服器位於中國大陸境外，您必須評估跨境資料傳輸規則是否適用於您接收的 WeChat OpenID 和個人檔案資料。

適用於多物業部署的 UnionID

每個公眾號（Official Account）的每個使用者 OpenID 都是唯一的。如果您在多個物業中營運多個公眾號，同一個訪客在每個公眾號中將擁有不同的 OpenID。WeChat 提供了一個 UnionID，該 ID 在連結到同一個開放平台（Open Platform）註冊的所有帳戶中保持一致。對於管理多個場域的連鎖飯店、零售集團或機場營運商，請從一開始就實作基於 UnionID 的身分識別解析。

安全強化

請將 AppSecret 儲存在環境變數或金鑰管理工具中，切勿寫在原始碼中。若懷疑洩漏，請立即進行輪替。在您的權杖交換端點上實施速率限制以防止濫用。記錄所有 OAuth 錯誤，特別是 40029（無效的代碼）和 40163（代碼已過期），因為這些錯誤代表設定錯誤或有主動探測行為。

如需深入了解訪客網路安全架構，請參閱 為什麼家用 WiFi 設備不適合用於您的訪客網路 。

案例研究

新加坡奢華連鎖酒店

一家位於新加坡、擁有 350 間客房的奢華酒店，主要服務中國商務旅客。該酒店在現有的電子郵件登入選項之外，增設了微信 WiFi 驗證。在實施之前，櫃檯人員平均每天會收到 15 起關於 WiFi 登入困難的訪客投訴。中國旅客當時正嘗試使用他們未在隨身旅行裝置上設定的電子郵件地址。

該酒店在微信公眾平台註冊了服務號，並在開放平台註冊了網站應用。他們針對首次連線的訪客設定了 snsapi_userinfo，並針對透過 MAC 位址識別的返回訪客設定了 snsapi_base。HPE Aruba 控制器則設定為 RADIUS CoA 以處理工作階段提升。

在 30 天內，訪客 WiFi 登入投訴降至每天不到兩起。該酒店的 WiFi Analytics 資料庫在第一個月內增加了 4,200 個經驗證的第一方個人檔案，其城市級的人口統計數據讓酒店能夠進行精準的入住後行銷溝通。

吉隆坡國際購物中心

吉隆坡的一家頂級購物中心，僅在馬來西亞就擁有 1,200 萬名微信用戶，需要一個符合其購物客群數位期望的 WiFi 導入體驗。該購物中心在 180,000 平方公尺的零售區域內營運 Cisco Meraki 基地台。

此部署使用 Purple 的 Guest WiFi 平台作為雲端覆蓋，以微信 OAuth 作為主要驗證方式，並以簡訊一次性密碼（SMS OTP）作為備用方案。Purple 的硬體無關架構處理了與 Cisco Meraki 的 RADIUS CoA 整合，無需進行客製化開發。

該購物中心在部署後的第一季記錄到 WiFi 工作階段啟動次數增加了 34%，這歸功於微信用戶導入流程摩擦的減少。透過 snsapi_userinfo 同意流程收集的第一方數據，使購物中心的行銷團隊能夠按居住城市對購物者進行細分，以進行精準的行銷活動投放。

疑難排解與風險緩釋

ROI 與商業影響

微信 WiFi 驗證的商業案例建立在三個可衡量的成效上。

第一方數據獲取。每次 snsapi_userinfo 驗證都會產生一個包含人口統計數據的已驗證訪客個人檔案。對於一家擁有 200 間客房、住房率 70% 且其中 40% 為中國訪客的飯店而言，這代表每年約可新增 20,000 個已驗證的個人檔案，且每個檔案都與微信身分綁定，支援後續的持續互動。

減輕支援負擔。登入摩擦是訪客 WiFi 支援電話的主要原因。在現有選項中加入微信驗證的場所，其與 WiFi 相關的前台諮詢量持續減少，從而釋放員工時間以進行更高價值的互動。

行銷觸及率。微信公眾號允許場所向粉絲發送推播通知。透過您的公眾號進行驗證的訪客可以被引導關注該帳號，從而在微信生態系統內建立直接的溝通管道，而中國消費者平均每天在微信上花費 82 分鐘（來源：Walk the Chat）。

Purple 的 Engage 方案進一步擴展了這一點，能夠根據在 WiFi 驗證時收集的第一方數據，建立自動化的訪問後訊息傳送、會員觸發機制以及分眾行銷活動。