Contexte : Un audit de sécurité révèle qu'une application intégrée en OpenID Connect pourrait être vulnérable aux attaques par rejeu. Le Problème : L'application valide la signature de l'ID Token mais ne vérifie pas correctement les paramètres state et nonce. Implémentation actuelle : if(validateSignature(idToken) && validateIssuer(idToken)) { allowAccess(); } Aucune vérification du nonce stocké côté client n'est effectuée. Contraintes : Le fournisseur d'identité ne peut pas être modifié. La solution doit respecter strictement la spécification OpenID Connect et empêcher toute réutilisation de token intercepté. Livrable attendu : Implémenter une validation complète incluant state, nonce, exp, aud et protection contre le replay, avec description précise du mécanisme sécurisé.