Contexte : Une application SPA utilise des access tokens JWT de courte durée pour accéder à une API. Le Problème : Les utilisateurs sont fréquemment déconnectés car aucun mécanisme de refresh token n’est en place. Contraintes : Implémenter un système de refresh token avec rotation obligatoire. Chaque refresh invalide le précédent. Les tokens doivent être stockés de manière sécurisée côté serveur. Livrable attendu : Concevoir le flux complet access token + refresh token, décrire le stockage sécurisé, la rotation et la révocation en cas de compromission.