Contexte : Une API distribue des JWT auto-contenus valides pendant 1 heure. Le Problème : Il n’existe aucun mécanisme pour invalider un token avant son expiration en cas de compromission. Contraintes : Mettre en place une stratégie de révocation sans transformer le JWT en session stateful classique. Livrable attendu : Proposer une architecture permettant la révocation (blacklist, token versioning ou introspection), en expliquant les impacts sur la scalabilité.