Contexte : Une API doit gérer des sessions longue durée de manière sécurisée. Le Problème : Les refresh tokens actuels ne sont ni rotatifs ni révocables dynamiquement. Contraintes : Mettre en place access token court, refresh token stocké en base et rotation automatique avec blacklist. Livrable attendu : Concevoir un système complet garantissant génération sécurisée, rotation contrôlée et révocation immédiate des tokens compromis.