Contexte : Une architecture microservices expose des APIs protégées derrière une API Gateway. L'authentification est gérée via OpenID Connect. Le Problème : Les microservices doivent faire confiance aux tokens validés par la Gateway tout en empêchant l'injection de tokens falsifiés. Contraintes : Validation des tokens à la Gateway et propagation sécurisée des claims. Signature obligatoire des tokens. Aucun partage de secret entre microservices. Protection contre le token substitution attack. Livrable attendu : Définir une architecture sécurisée incluant validation en amont, propagation des claims signés et stratégie de confiance interne entre services.