Mon avis est que si l'acheteur est un fraudeur à la carte de crédit, alors il a peut-être les moyens de flouer ton système BETA (oui je sais, tout le monde le sait ).

Sache aussi que le seul système valable pour certifier un utilisateur avec une applet serait de:

1) Générer un challenge random
2) Lancer l'applet du coté client qui va faire signer le challenge avec l'eID
3) Récupérer le certificat public de signature de l'eID, la challenge signé et vérifier la signature du coté serveur

La tu es sûr que la personne est bien celle qu'elle prétend ...

MAIS ... je n'utiliserai pas plus ton système ...

Parce que je n'ai vraiment aucune garantie que c'est juste un challenge que tu me fais signer et pas une reconnaissance de dette ...

Donc, tu vas devoir écrire "plein" de code coté client en java ( ), du code de vérification de signature du coté kelare.

Et tu auras toujours des gens comme moi pour refuser de le faire.

Par contre, je sais qu'avec mon certificat d'authentification, tu as tout ce que tu dois avoir .... et pas plus. Mais pour ça, il faut utiliser TLS (ce qui n'est pas vraiment overkill si tu n'utilise TLS que pour ça). Et en plus ça te fait un single sign-on pour tout tes sites (je perd tout le temps mon mot de passe photosez )

Déjà que je trouve incroyable qu'on ai accepter d'avoir le même code pin pour les deux certificats