Contexte : Une application encode des informations utilisateur dans un JWT pour éviter des requêtes supplémentaires à la base de données. Le Problème : Le token contient des données sensibles comme des rôles internes et des identifiants techniques. Contraintes : Vous ne pouvez pas supprimer l’usage de JWT mais devez limiter les informations exposées. Le token doit rester compatible avec les clients existants. Code actuel : const payload = { id: user.id, email: user.email, role: user.role, internalId: user.internalId }; Livrable attendu : Proposer une version sécurisée du payload JWT en minimisant les données exposées et expliquer la justification sécurité.