Блог разработчиков Wimark
Универсальный коннектор к порталам авторизации

Открытое HTTP API позволяет решениям Wimark легко интегрироваться с любым сторонним порталом авторизации.
Это дает возможность заказчикам выбирать наиболее привлекательное из представленных на рынке портальных решений, а разработчикам Wi-Fi сервисов - предлагать свои услуги на расширенном списке точек доступа и дополнять сервис авторизации таргетированной рекламой за счет анализа Mac-адресов в зоне действия управляемой Wimark сети.

    Павел Гончуков
    Технический директор
    Соответствие требованиям законодательства

    Согласно последним законодательным инициативам Российской Федерации, каждый пользователь общедоступной беспроводной сети Wi-Fi должен быть идентифицирован. Основным инструментом для обеспечения аутентификации и авторизации пользователя является портал авторизации.

    В списке разработанных нами решений функциональность портала авторизации встречается в двух продуктах - Virtual Access Point (vAP) и ААА-сервер. Рассмотрим реализацию портала в каждом из этих продуктов.

    Функция авторизации на платформе Wimark

    vAP - виртуальная точка доступа - ПО, которое устанавливается на физическое устройство. Как и все в парадигме облачного управления, vAP состоит из двух частей: ПО агента на точке доступа и сервисов, взаимодействующих с агентом, и находящихся на сервере в облаке. Функционал портала в продукте vAP реализован, в большей степени, в облаке, однако принцип работы неотъемлемо связан с программным обеспечением агента на точке доступа.

    Технически авторизация и аутентификация на портале состоит из нескольких фаз: подключение, перенаправление на портал, аутентификация и авторизация, организация доступа в интернет. Разберем каждый этап по отдельности.

    Подключение - фаза, при которой клиент беспроводной сети (мобильный телефон, планшет или любое другое устройство с Wi-Fi модулем) подключается к сети Wi-Fi (включает адаптер и выбирает SSID, к которому хочет подключиться). После серии обмена сообщений стандарта 802.11 между клиентским терминалом и точкой доступа устройство подключается к беспроводной сети и получает IP адрес.

    Переадресация на портал - фаза, следующая после подключения. Пользователь, используя устройство, подключающееся к Wi-Fi сети, заходит на какой-либо ресурс в интернете. Технически пользовательский терминал делает HTTP запрос на сервер, на котором расположен запрашиваемый ресурс. Однако набор правил, который был передан платформой управления на точку доступа с ПО vAP, не дает пакетам данных, переданных от подключенного неавторизованного устройства, добраться до запрашиваемого ресурса. Точка доступа перехватывает эти пакеты и отвечает пользователю на запрос. В HTTP ответе точка доступа сообщает клиентскому терминалу о том, что ресурс временно переместился на другой сервер с другим адресом. Этим другим сервером и является портал авторизации. То есть после серии HTTP перенаправлений пользователь попадает на портал авторизации и видит именно его приветственную страницу в своем браузере. В момент переадресации точка доступа изменяет HTTP запрос пользователя и добавляет типовые параметры, нужные для идентификации на портале (MAC адрес клиентского устройства, MAC адрес точки доступа и тд.). Таким образом портал авторизации получает информацию о подключенном пользователе.

    Аутентификация и авторизация - стадия процесса, при которой пользователь проходит валидацию своих атрибутов доступа (логин, пароль). Для того чтобы пояснить последовательность действий на портале авторизации, имеет смысл описать основные элементы пользовательского интерфейса портала.

    Пользовательский интерфейс может быть разделен на несколько частей:
    • форма логина и пароля
    • форма статической и динамической рекламы
    • "переключение доступа"
    При переадресации на портал авторизации в браузере пользователя появляется форма логина и пароля. Само представление формы логина и пароля зависит от типа авторизации, используемого на портале. Обычно в Wi-Fi сетях общего пользования предлагается авторизация посредством SMS. Это также обусловлено законодательством РФ, поскольку связка "MAC-адрес устройства - телефон пользователя" является уникальным идентификатором, по которому можно однозначно определить, кто и в какой момент времени получил доступ в публичную сеть.

    В случае с SMS авторизацией, пользователь вводит свой номер телефона в поле формы логина и пароля и дожидается SMS с авторизационным кодом. SMS посылается c портала посредством API стороннего SMS gateway.
    Пользователь вводит полученный код в поле проверочного кода в форме логин пароль.

    Далее в типовом сценарии портала авторизации пользователю на экране браузера показывается рекламный контент в динамическом или статическом варианте. После чего пользователю открывается доступ в интернет путем перехода на заранее сконфигурированный адрес ресурса в интернете.

    С точки зрения технического взаимодействия, перенаправление пользователя в интернет происходит посредством взаимодействия API платформы и портала авторизации. Портал дает команду платформе о том, что пользователь (клиентский терминал) авторизовался и для него нужно поменять правила доступа. Платформа, в свою очередь, транслирует это сообщение точке доступа, к которой подключен данный терминал. Точка доступа применяет правило и через платформу сообщает об этом порталу.

    Визуальные составляющие портала, маркетинговый контент и тип авторизации могут быть изменены, для этого Wimark предоставляет документацию, описывающую типовые возможности по изменению внешнего вида портала авторизации.

    HTTP API платформы в купе с RADIUS API позволяют интегрироваться с любым сторонним порталом авторизации.


    Интеграция портала авторизации с ААА-сервером Wimark

    Функциональность портала в части AAA дополняет решение AAA пользовательским фронтендом по авторизации в Wi-Fi сети общего пользования. Сценарий использования похож на приведенный выше, однако стоит заметить, что AAA является отдельным продуктом и может быть использован отдельно от платформы управления Wi-Fi сетью.
    AAA терминирует на себе RADIUS запросы от Wi-Fi контроллеров или платформ управления. HTTP трафик, как и в случае с vAP, обрабатывается фронтендом портала авторизации. Дальнейшее взаимодействие портала с контроллером или платформой управления Wi-Fi происходит посредством интеграции с AAA по протоколу RADIUS.

    Как и все продукты Wimark, AAA имеет открытое HTTP API и может быть интегрирован с любым порталом авторизации, неся на себе функциональность backend и интеграцию с Wi-Fi инфраструктурой.

    Типовые сценарии использования связок портал-vAP, портал-AAA различаются. Связка портал-vAP работает только с платформой управления Wimark. Функционал портала получается интегрированным в платформу, что дает преимущество по скорости развертывания сервиса, однако ограничивает область применения только инфраструктурой с ПО Wimark. В свою очередь связка портал-AAA максимально независима от типа Wi-Fi инфраструктуры и дает возможность разворачивать сервис авторизации на любой Wi-Fi сети.