Discussion :

[momjunior]

Bonjour

Je suis en train de créer une application J2EE. J'ai un formulaire qui permet à l'utilisateur de renseigner son nom, prénom, email .... Bref il lui permet de créer son compte. Après l'enregistrement dans la base de données, je voudrais envoyer un lien d'activation à l'utilisateur dans sa boite mail. Ce lien permettra de confirmer que l'adresse mail qu'il a renseignée existe bel et bien, et qu'elle lui appartient. Mon problème est le suivant:

1. Avant d'envoyer le lien, je voudrais enregistrer les données de l'utilisateur temporairement, c'est-à-dire que, à part les champs nom, prénom etc..., je voudrais créer un champ "statut_activation" qui prend une valeur "oui" ou "non". Lorsque l'utilisateur clique sur "enregistrer", la valeur du champ "statut_activation" sera "non" par défaut. Donc ça veut dire que le compte n'est pas activé. Après avoir reçu le mail , lorsqu'il aura cliqué sur le lien d'activation, je vais mettre à jour la valeur du champ "statut_activation" qui sera "oui". Dans ce cas le compte est activé.
J'aimerais donc savoir si le principe est bon.

2. Lorsque l'utilisateur aura cliqué sur le lien d'activation, comment je fais pour le reconnaitre puisque les infos proviendront d'un service de messagerie comme gmail ou yahoo, et non d'une page jsp de mon application, c'est-à-dire comment faire un request.getParameter pour récupérer les infos provenant de gmail ou de yahoo par exemple.

Merci

[Mishulyna]

Bonsoir,

1. Le principe me semble bon, "statut_activation" pourrait être un boolean.

2. Dans le lien (ou le bouton) envoyé par mail, tu pourrais mettre l'url-pattern d'une servlet de ton application et quelques paramètres qui permettront d'identifier l'utilisateur qui vient de valider son inscription.

web.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<servlet>
        <servlet-name>ConfirmRegistration</servlet-name>
        <servlet-class>be.mon.paquetage.servlets.ConfirmRegistration</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>ConfirmRegistration</servlet-name>
        <url-pattern>/validateRegister.do</url-pattern>
    </servlet-mapping>

MailService.java

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
public class MailService {
    ...
    private static final String VALIDATION_ADDRESS = "http://localhost:8080/nom_application/validateRegister.do?";
    private static final String emailConfirmInscriptionBody = "Veuilez cliquer sur ce bouton pour confirmer votre inscription ";
    ...
    public void sendInscriptionConfirmation(Personne newUser) throws MessagingException{
        try {
        ...
        String emailBody = emailConfirmInscriptionBody.concat("<a href=" + VALIDATION_ADDRESS 
                    + "email=" + newUser.getEmail()
                    + "&validationKey=" + newUser.getValidationKey() // ça peut être tout ce que tu veux SAUF le mot de passe en clair
                    + "><button>Activez votre inscription</button></a>"); // le bouton est moche, suis d'accord :D
        ...
        } catch (MessagingException mex) {
            mex.printStackTrace();
        }
    }
}

[momjunior]

Merci pour ta réponse, je suis sur la bonne voie.

Juste une question concernant la clé d'activation: son contenu pourrait-il être par exemple une combinaison du ID et de l'email de l'utilisateur, que je vais ensuite chiffrer? c'est-à-dire faire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
String validationKey = newUser.getId()+newUser.getEmail();
 
ConfigurablePasswordEncryptor passwordEncryptor = new    ConfigurablePasswordEncryptor();
    passwordEncryptor.setAlgorithm( ALGO_CHIFFREMENT );
    passwordEncryptor.setPlainDigest( false );
    String validationKeyChiffre = passwordEncryptor.encryptPassword(validationKey);
 
try {
        ...
        String emailBody = emailConfirmInscriptionBody.concat("<a href=" + VALIDATION_ADDRESS 
                    + "email=" + newUser.getEmail()
                    + "&validationKey=" + validationKeyChiffre  // ça peut être tout ce que tu veux SAUF le mot de passe en clair
                    + "><button>Activez votre inscription</button></a>"); // le bouton est moche, suis d'accord :D
        ...
        }

[Mishulyna]

Bonjour,

Oui, ça pourrait être une donnée (ou combinaison de données) cryptée(s), capable(s) à identifier l'utilisateur de façon unique.

Je dirais qu'il vaudrait mieux de faire le cryptage dans le contrôleur de la classe Utilisateur et sauvegarder la valeur dans la base de données pour vérification lors de la validation de l'inscription. Une fois la validation réussie, effacer la clé de validation de la base de données (histoire d'éviter les collisions), car elle ne doit servir qu'une seule fois.

[OButterlin]

Le plus simple serait d'utiliser une clé primaire incrémentale, elle ne signifie rien, ne donne aucune information à quiconque tomberait dessus.

Pour le reste, la suggestion de Mishulyna utilisant un lien vers une servlet est bonne et simple à mettre en œuvre mais elle suppose que ton serveur est accessible depuis internet (DMZ). S'il s'agit d'un réseau d'entreprise, ça ne fonctionnera pas.

Sinon, tu as la possibilité de répondre à une adresse de messagerie et d'analyser la réponse via l'api mail de java... Là, plus de soucis d'accessibilité

[Mishulyna]

Bonjour OButterlin,

Le plus simple serait d'utiliser une clé primaire incrémentale, elle ne signifie rien, ne donne aucune information à quiconque tomberait dessus.

Vous voulez dire comme un numéro de client ? Est-ce possible d'avoir deux clés primaires incrémentales sur une table (la première étant l'Id) ?

S'il s'agit d'un réseau d'entreprise, ça ne fonctionnera pas.

Est-ce possible que quelqu'un de l'extérieur se crée tout seul un compte sur une application qui tourne sur un serveur d'entreprise, avec une adresse mail autre que celle "interne" à l'entreprise ?

Désolée pour ces questions bêtes...

[momjunior]

J'ai finalement décidé d'utiliser la Class UUID car il parait qu'elle génère un ID unique.

Donc je fais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

UUID validationKey= UUID.randomUUID();

Et je sauvegarde cette clé temporairement dans la table Utilisateur comme tu m'as dit.

Est ce que tu me conseilles l'usage de la Class UUID ?

[OButterlin]

Ce que j'avais à l'esprit était une colonne de ce type, inutile de créer autre chose

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
create table maTable (
   uid Integer NOT NULL as identity,
   ...
   primary key (uid)
);

Un nombre aléatoire à une probabilité non nulle de ressortir, ce serait dommage que 2 clients aient malencontreusement eu le même numéro pour répondre...

Pour l'autre question, concernant l'envoi d'un mail de l'extérieur vers une boite mail d'entreprise, ça dépend de la protection de cette dernière.
Dans certains cas, les entreprises "verrouillent" l'accès à la boite mail, ou du moins, compliquent leur accès... ça peut être un problème...
Ceci dit, c'est un peu couillon de verrouiller une adresse mail quand on demande une réponse.

[Mishulyna]

En survolant la javadoc, c'est le constructeur qui me met en difficulté :

UUID(long mostSigBits, long leastSigBits)
Constructs a new UUID using the specified data.

C'est peut-être que j'aime trop avoir le contrôle, j'utiliserais plutôt la solution proposée par OButterlin, un identifiant unique sans rapport avec l'id de l'utilisateur.