Contexte : Une API accepte des JWT signés en RS256. Un audit révèle une vulnérabilité potentielle. Le Problème : La validation ne force pas explicitement l'algorithme attendu. Implémentation actuelle : if(validateSignature(token, key)) { allow(); } Un attaquant pourrait forcer l'utilisation d'un algorithme HMAC avec la clé publique comme secret. Contraintes : Vous devez empêcher toute confusion d'algorithme et forcer explicitement RS256. Livrable attendu : Implémenter une validation stricte de l'algorithme et corriger la logique pour empêcher toute exploitation par substitution d'algorithme.