Contexte : Une API SaaS doit gérer des sessions longue durée de manière sécurisée. Le Problème : Les access tokens expirent rapidement et aucun mécanisme robuste de rotation de refresh token n'est en place. Contraintes : Implémenter JWT avec access token court, refresh token stocké en base et rotation automatique avec invalidation. Livrable attendu : Concevoir un système complet garantissant génération sécurisée, rotation contrôlée et révocation des tokens compromis.