Protéger l’accès à une servlet (ou une page sans PHP) pour utiliser Rentabiliweb

Rentabiliweb est un service de moétisation des pages web.

Dans le cadre de la réalisation d’un serveur de mini-jeux payant écrit en Java, j’ai décidé d’utiliser le service rentabiliweb.

1. Le fonctionnement des opérateurs de micropaiement

Le principe technique est simple: l’url désirée doit être inconnue du public, mais connue de rentabiliweb. Lors de la tentative de paiement de l’utilisateur sur le serveur rentabiliweb, le service effectue une redirection vers la page protégée.

Mais que se passe-t-il si l’URL de la page secrète venait à être connue de tous ?
Il est donc nécessaire protéger la page, en utilisant les données secrètes envoyées par Rentabiliweb.

2. Les paramètres a utiliser pour protéger la page :

La page protégée doit récupérer une validation émanant de Rentabiliweb. Il faut effectuer une requête sur le serveur http://secure.rentabiliweb.com/Micropaiement.php qui nous renverra TRUE, ou FALSE selon la validité du code de paiement entré par l’utilisateur.

Le reste des infos de la query string (paramètres HTTP) est ici:

id=XXXXX (correspond à l’identifiant de votre page protégée)
&code=test (correspond au code qui a été saisi par l’utilisateur)
&submit.x=3(correspond aux coordonnées lors du clic sur l’image du formulaire)
&submit.y=5(correspond aux coordonnées lors du clic sur l’image du formulaire)
&submit=ok

La page protégée doit ensuite à son tour émettre une requete get vers un serveur de rentabiliweb, qui va répondre par « oui » ou « non ». A vous ensuite d’analyser ce résultat…Divers moyens existent. Pour ma part, j’ai choisi d’utiliser l’API java et le package java.net pour emettre une requête GET sur leur serveur. Il serait aussi possible d’utiliser conjointement PHP pour modifier la base de donnée, ou encore un script shell lancé par le runtime du conteneur de servlet…

Il est a noter que leur serveur supporte les cookies (pratique si vous avez un identifiant de session) et tranfère les paramètres HTTP de la queryString que vous lui donnerez. Apparement rentabiliweb effectue une simple redirection HTTP standard vers la page déclaré par l’administrateur.