Contexte : Un système OpenID Connect dessert plusieurs applications clientes avec des client_id distincts. Le Problème : L'application valide uniquement l'issuer et la signature du token. Implémentation actuelle : if(validateSignature(token) && token.iss === expectedIssuer) { allowAccess(); } La vérification de l'audience (aud) et du azp est absente, permettant potentiellement à un token destiné à un autre client d'être accepté. Contraintes : Vous devez respecter strictement la spécification OIDC et empêcher tout usage croisé de token entre clients. Livrable attendu : Implémenter une validation complète incluant aud, azp et client_id afin d'éliminer tout contournement d'audience.