0019 — Backend NestJS phase D.2 : refresh tokens opaques

Date : 2026-04-21 Statut : Acté

Contexte

Compléter la suite D.1 (ADR 0017) et D.3/D.4 (ADR 0018) avec un mécanisme de refresh tokens robuste.

Décision

• Refresh tokens opaques, hashés SHA-256 en DB, avec rotation à chaque /auth/refresh.
• Endpoints POST /auth/refresh et POST /auth/logout (idempotent).
• Modèle RefreshToken en DB.
• JWT_REFRESH_EXPIRES_IN (default 7d).
• Postinstall prisma generate automatique.

Conséquences

• 35 tests verts à l'issue de cette phase.
• Rotation = invalidation immédiate du refresh précédent.