Contexte : Une API interne utilise des JWT pour authentifier les requêtes entre services. Le Problème : Les tokens sont signés mais aucune stratégie claire de gestion des clés ni de validation stricte des claims n'est définie. Contraintes : Utiliser un algorithme asymétrique (RS256 ou ES256). Validation obligatoire des claims exp, iss, aud. Support de rotation des clés via un endpoint public. Aucun secret partagé entre services. Livrable attendu : Définir et implémenter un système de signature et de validation JWT robuste incluant gestion des clés publiques et vérification complète des claims.