关于微信连WIFIportal认证1实现介绍.PDF

文档名称 文档密级 关于 “微信连WIFI ”portal认证 1 实现介绍： 传统的portal认证，必须打开浏览器，访问某个网站来触发portal重定向打开用户登录页 面，再输入用户名/密码进行认证。 “微信连WIFI ”是通过微信客户端扫描店家二维码来自动触发、完成Portal认证。 企业服务器：跟微信服务器有交互，获取用户信息；身兼portal server ，不管以哪种账号 形式，最终跟AC进行的还是Portal协议交互。 微信服务器：用户微信号与企业微信号的鉴权。 微信客户端：即手机上的微信app 1.1 基本流程 （1）用户使用微信客户端扫描企业二维码后，微信客户端发出特殊的http请求，请求 的URL为/redirect ，这个URL是固定的； （2 ）AC识别出这个特殊的URL ，进行特殊重定向。 重定向内容为http://y.y.y.y ?auth= xxxxxx ，y.y.y.y是任意域名 （建议配置成企业服 务器的地址），微信客户端并不关心，其只关心auth=xxxxxx部分。 2016-07-06 H3C 机密，未经许可不得扩散 第1 页, 共5 页 文档名称 文档密级 （3 ）微信客户端拿到auth部分后到自己的微信服务器上对微信账号进行鉴权。auth部 分会被微信客户端再次加密处理，但URL里可以看见“apauth ”字样。从URL看访问的 是，需要通过user-url free放通，需要留意微信是否会修改域名。 （4 ）微信服务器鉴权之后，会把auth部分再发送给企业服务器（二者之间有接口，事 先有交互，微信服务器知道企业服务器的地址）。 （5 ）企业服务器从auth部分中获取用户属性，包括user-ip、user-mac 、ssid、nas-ip、 ac-name等传统Portal URL属性。 （6 ）企业服务器向AC发起Portal认证。这里的用户账号由企业服务器决定，可以直接 使用user-mac做为账号或者其他对应账号，AC并不关心。 IMC是把wxuid作为用户名来认证的，wxuid来自于步骤（4 ）微信服务器发过来的。 2016-07-06 H3C 机密，未经许可不得扩散 第2 页, 共5 页 文档名称 文档密级 （7 ）如果企业服务器没有Radius server，那么AC上认证domain 中认证、授权、计费 全部配置成none就行了。 2 配置方法及注意事项 微信连WIFI认证，基础还是Portal认证，首先按照常规portal进行配置。 注意事项1： （与版本有关） 必须在web-server下配置下列特殊命令。 蓝色部分是固定格式不能修改； y.y.y.y理论上是任意，建议配置为企业服务器地址； 加密算法des和aes可选，V5上固定用的des，V7上建议也用des，密钥根据实际配置； # portal web-server p1 if-match original-url /redirect redirect-url http://y.y.y.y url-param-encryption des key simple xxxxxxxx # 注意事项2 ： 特殊重定向auth部分携带的用户属性，同portal重定向URL 中的属性，需要携带哪 些由web-server下url-parameter控制。这些属性供企业服务器完成portal认证，根据需要 进行配置。 2016-07-06 H3C 机密，未经许可不得扩散 第3 页, 共5 页