Contexte : Votre application accepte des tokens provenant de plusieurs Identity Providers partenaires. Le Problème : La validation actuelle ne vérifie pas strictement la correspondance entre issuer attendu et endpoint de récupération des clés. Implémentation actuelle : if(validateSignature(token)) { allowAccess(); } Un IdP malveillant pourrait potentiellement émettre un token valide mais non autorisé. Contraintes : Vous devez lier explicitement issuer, endpoint JWKS et client_id. Aucune désactivation de validation n'est permise. Livrable attendu : Mettre en place une validation stricte empêchant toute confusion d'Identity Provider en vérifiant issuer exact, audience et provenance des clés.