目录
# 概述
硬件鉴权协议主要用于Portal型设备的鉴权方式改造,使设备可以通过识别微信身份给顾客放行,让顾客的手机快速便捷连上Wi-Fi。
# 业务逻辑
# 移动端连Wi-Fi
用户连网流程
顾客在手机上点选ssid后唤起portal页,点击页面上“微信连Wi-Fi”按钮进入连接前页,展示公众号logo和名称,点击“立即连网”按钮后开始连WiFi,连接成功后跳转到成功连接页,关注商家公众号。
模块时序图
若无法看清图中文字,可先通过“图片另存为”将图片保存到本地,再放大查看。
# 移动端实现流程
请按照以下步骤操作,即可完成设备改造,让移动端设备使用微信连Wi-Fi。
# 第一步:获取门店Wi-Fi信息
改造portal型设备的第一步,是获得门店Wi-Fi信息,包括:appId,shop_id,ssid,secretkey。有两种获取门店Wi-Fi信息的方法:
1.通过页面操作获得
在进微信公众平台微信连Wi-Fi插件中,打开【设备管理】->【添加设备】,添加“新增微信方式连网+连网后近场服务”->”Portal型设备”;添加成功后即可获得门店Wi-Fi参数信息。
已添加设备也可在【设备详情】->【查看设备改造信息】中,获得门店Wi-Fi参数信息。
2. 调用接口获得
调用添加portal型设备接口获得。
# 第二步:改造移动端portal页面
若连网设备是移动设备,在portal页中引用下述微信JSAPI,让原有Wi-Fi portal页具备呼起微信的能力:
<script type="text/javascript" src="https://wifi.weixin.qq.com/resources/js/wechatticket/wechatutil.js" ></script>
调用JSAPI触发呼起微信客户端:
Wechat_GotoRedirect(
appId,
extend,
timestamp,
sign,
shop_id,
authUrl,
mac,
ssid );
具体示例:
Wechat_GotoRedirect(
'wx23fb4aaf04b8491e',
'demoNew',
'1441768153341',
'a355c78bad9be9235d2105d28f8e010c',
'6747662',
'http://wifi.weixin.qq.com/assistant/wifigw/auth.xhtml?httpCode=200',
'aa:aa:aa:aa:aa:aa',
'2099');
参数说明
参数 | 是否必须 | 说明 |
---|---|---|
appId | 是 | 商家微信公众平台账号 |
extend | 是 | extend里面可以放开发者需要的相关参数集合 ,最终将透传给运营商认证URL。extend参数只支持英文和数字,且长度不得超过300个字符。 |
timestamp | 是 | 时间戳使用毫秒 |
sign | 是 | 请求参数签名,具体计算方法见下方说明 |
shopId | 是 | AP设备所在门店的ID,即shop_id |
authUrl | 是 | 认证服务端URL,微信客户端将把用户微信身份信息向此URL提交并获得认证放行* |
mac | 安卓设备必需 | 用户手机mac地址,格式冒号分隔,字符长度17个,并且字母小写,例如:00:1f:7a:ad:5c:a8 |
ssid | 是 | AP设备的无线网络名称 |
签名的计算方法:
sign = MD5(appId + extend + timestamp + shopId + authUrl + mac + ssid + secretkey);
注意:这里timestamp为毫秒单位的当前时间戳。
*authURL补充说明:根据苹果要求,微信iOS客户端从2016年12月中旬起将改用https通信,因此要求:
如果authURL是域名,需要同时支持http和https访问。当微信以https访问时,回包为https;当微信以http访问时,回包为http。
如果authURL是IP,需要支持http访问。
为了新旧版本兼容,在portal页调用此JSAPI时authURL字段仍然以http为开头填写。
# 第三步:支持临时放行上网请求
请确保AP/AC在portal页打开后能够临时放行用户的上网请求。只有临时放行成功,才可以调用上述JSAPI呼起微信,换取用户身份信息,保证后续认证请求顺利完成,从而成功连网。
注意:IOS呼起微信时如果网络不通Wi-Fi会被切走,导致连网失败,因此请务必确保AC/AP支持临时放行上网请求。
部分安卓设备的web浏览器无法自动呼起微信客户端的问题,请参考常见问题中的解决方案。
# 第四步:接受微信身份认证放行
微信客户端被呼起后,将自动向authUrl(JSAPI的传入参数)发起请求,提交认证所需的用户微信身份信息参数,包括extend、openId、tid。
微信客户端向authUrl发送请求示例:
http://www.foo.com/portal/auth.html?extend=xxx&openId=xxx&tid=xxx
参数说明
参数 | 说明 |
---|---|
extend | 为上文中调用呼起微信JSAPI时传递的extend参数,这里原样回传给商家主页 |
openId | 用户的微信openId |
tid | 为加密后的用户手机号码(仅作网监部门备案使用) |
authUrl所对应的后台认证服务器必须能识别这些参数信息,并向微信客户端返回AC认证结果,微信客户端将根据http返回码,提示用户连网成功与否。
若http返回码为200,则认为服务认证成功,微信客户端跳转到成功连接页,用户点击“完成”按钮后,将跳转到商家主页;若认证服务器需要转移认证请求,请返回302和下一跳地址,微信客户端将向下一跳地址再发起一次请求,302跳转仅支持一次;对于非200和302,或者超过次数的302返回码,视为认证失败,此次连网失败,微信客户端跳转到连接失败页。
注意:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。
# 第五步:实现扫二维码连网
在完成第一至四步的前提下,进行下述配置,可实现portal设备扫二维码连Wi-Fi。具体操作如下:
1. 改造portal server跳转内容
当一个未认证的手机用户试图联网时,AC会将用户的http请求转跳到Portal Server上的Portal页面,这里AC需要进一步识别,如果这个http请求是来自于微信客户端,则在转跳URL上带上authUrl和extend两个约定参数即可。
http://www.foo.com/portal/portal.html?authUrl=http%3A%2F%2Fwww.foo.com%2Fportal%2Fauth.html&extend=xxx
参数 | 说明 |
---|---|
authUrl | 即第二步portal页中填写的authUrl,是认证服务端URL,微信客户端将把用户微信身份信息向此URL提交并获得认证放行 |
extend | 为上文中调用呼起微信JSAPI时传递的extend参数,这里原样回传给商家主页 |
2. 如何识别http请求是否来自微信客户端
在http数据包的header结构中解析“User-Agent”即可,判断是否包含关键字“micromessenger”(这里请注意不要拦截其他微信http请求,所以关键词请匹配好),示例代码如下:
...
String userAgent = request.getHeader("User-Agent");
if(userAgent.matches(".*micromessenger.*")){ response.sendRedirect("http://www.foo.com/portal/portal.html?authUrl=http%3A%2F%2Fwww.foo.com%2Fportal%2Fauth.html&extend=xxx ");
}
...
微信客户端将解析Portal Server转跳地址中的authUrl和extend参数,继续完成连接流程。
3. 防止IOS自动弹出portal页
为了防止IOS切换ssid时自动弹出portal页,请将IOS的嗅探地址“http://captive.apple.com/hotspot-detect.html”放入白名单。
4. 下载物料二维码
完成portal server改造后,调用 配置连网方式接口,下载该门店二维码,张贴于店内,顾客即可扫码连Wi-Fi。
# 移动端portal页示例Demo
请参考示例Demo,进行移动端Portal页面改造(JS代码直接在页面中)
请用手机浏览器打开以下链接(可手动输入,也可扫码获得链接地址):
https://wifi.weixin.qq.com/operator/demoNew.xhtml
如果用微信扫码,请点击有右上角按钮,选择“在浏览器中打开”页面,不要直接在微信浏览器中体验。
# 常见问题
1. 部分安卓手机的web浏览器无法自动呼起微信客户端
6.2.5以上的Android版微信已经支持手动打开客户端后继续进行连接流程的功能,为保证此流程顺畅进行,开发者需注意以下几点:
1.保证微信客户端版本为6.2.5以上的Android版微信;
2.参考示例demo中jsapi的写法,在无法自动跳转微信客户端时弹出提示,让用户手动切换到微信;
3.在portal页面中调用微信jsapi时,需保证AP设备的ssid和手机mac这2个参数真实有效;
4.测试过程请从切换到目标ssid动作开始(例如:原来为3G或4G网络然后手动选择目标ssid,原来为非目标ssid的wifi信号然后手动选择目标ssid,等等)。
2. IOS从portal页面跳转到微信后如何保证手机仍保持在目标ssid下?
IOS系统为了保证Wi-Fi是可用的,在用户选择完一个ssid后不会马上切换过去,而是会嗅探通过该ssid是否能触达公网上的预设服务,如果能嗅探到才真正显示连接该ssid。在弹portal的AP环境中,这点正好被用来弹出portal页面,如果在portal页面上完成了认证,则在portal右上方的提示会由“取消”变为“完成”,如果在“取消”状态下离开这个界面,那么刚刚选择的ssid将会被断开,回到上一个可用的连接,而如果在“完成”状态下离开这个界面则不会断开。
由于通过微信认证时,会由portal界面跳转到微信,所以确保portal右上角的“完成”状态是个前提。开发者需要注意以下几点:
1.确保弹出portal后,临时放行手机的所有流量;
2.临时放行手机的所有流量后,局部或整体刷新portal页面触发IOS再次进行嗅探;
3.IOS嗅探可以正常触达公网上的预设服务后“取消”变为“完成”;
4.以上动作完成后,再调用跳转微信的JSAPI,继而跳转微信完成认证连接流程。
# 离线认证方式
Wi-Fi环境无法做到临时放行用户流量用于与微信后台通信,可采用离线认证方式实现。请按照以下步骤操作,即可在移动端使用微信连Wi-Fi。
模块时序图
若无法看清图中文字,可先通过“图片另存为”将图片保存到本地,再放大查看
# 第一步:获取门店Wi-Fi信息
请参考移动端实现流程的第一步获取门店Wi-Fi信息,获取门店的Wi-Fi信息。
# 第二步:改造移动端portal页
在portal页中引用离线呼起微信的链接,让原有的Wi-Fi的portal页具备呼起微信客户端的能力。链接格式具体如下:
function callWechatBrowser(){var appId = getParam('appId');var shopId = getParam('shopId');var authUrl = getParam('authUrl');var extend = getParam('extend');var timestamp = getParam('timestamp');var sign = getParam('sign');var weixinUrl = 'weixin://connectToFreeWifi/?apKey=_p33beta&appId='+appId+'&shopId='+shopId+'&authUrl='+authUrl+'&extend='+extend+'×tamp='+timestamp+'&sign='+sign; window.location=weixinUrl;
}
参数说明
参数 | 是否必须 | 说明 |
---|---|---|
appId | 是 | 商家微信公众平台账号 |
shopId | 是 | 即shop_id,设备所在门店的ID(微信公众平台门店) |
authUrl | 是 | 认证服务端URL,微信客户端将把用户微信身份信息向此URL提交并获得认证放行。 authUrl的值是经过Url编码的,如:http%3A%2F%2F192.168.1.1%2Fauth.html%3Ft%3Dabc%26s%3D123 |
extend | 是 | extend里面可以放开发者需要的相关参数集合 ,最终将透传给运营商认证URL。extend参数只支持英文和数字,且长度不得超过300个字符。 |
timestamp | 是 | 时间戳使用毫秒 |
sign | 是 | 请求参数签名,具体计算方法见下方说明 |
签名的计算方法:
sign = MD5(appId + extend + timestamp + shop_id + authUrl + mac + ssid + secretkey);
注意:这里timestamp为毫秒单位的当前时间戳。authUrl在签名时为未编码的url格式,如:http://192.168.1.1/auth.html?t=abc&s=123
# 第三步:支持微信身份认证放行
微信客户端被呼起后,将自动向authUrl发起认证请求,提交extend参数。用户微信身份(tid参数)将通过商户主页传递,请开发者注意在商家主页的后台获取。 微信客户端向authUrl发送请求示例:
http://www.foo.com/portal/auth.html?extend=xxx
参数说明
参数 | 说明 |
---|---|
extend | 为上文中调用呼起微信JSAPI时传递的extend参数,这里原样回传给商家主页 |
authUrl所对应的后台认证服务器必须能识别这些参数信息,并向微信客户端返回AC认证结果,微信客户端将根据http返回码,提示用户连网成功与否。
若http返回码为200,则认为服务认证成功,微信客户端跳转到成功连接页,用户点击“完成”按钮后,将跳转到商家主页;若认证服务器需要转移认证请求,请返回302和下一跳地址,微信客户端将向下一跳地址再发起一次请求,302跳转仅支持一次;对于非200和302,或者超过次数的302返回码,视为认证失败,此次连网失败,微信客户端跳转到连接失败页。
注意:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。