Contexte : Une API doit gérer des sessions longue durée de manière sécurisée. Le Problème : Les refresh tokens actuels ne sont ni rotatifs ni invalidables dynamiquement. Contraintes : Mettre en place access token court, refresh token stocké en base avec rotation automatique et blacklist. Livrable attendu : Concevoir un système complet garantissant génération sécurisée, rotation contrôlée et révocation immédiate des tokens compromis.