0018 — Backend NestJS phases D.3 + D.4 : RBAC + /auth/me

Date : 2026-04-21 Statut : Acté

Contexte

Suite de la phase D.1 (ADR 0017). Il faut introduire l'autorisation par rôles et un endpoint qui retourne le profil de l'utilisateur courant.

Décision

• JwtStrategy + JwtAuthGuard + RolesGuard.
• Décorateurs @Roles et @CurrentUser.
• Endpoint GET /auth/me (données fraîches depuis la DB, pas seulement depuis le token).
• Endpoint GET /auth/admin-ping témoin RBAC avec @Roles('ADMIN').

Conséquences

• 23 tests verts à l'issue de ces phases.
• D.2 (refresh tokens) reste à faire.