PD-241 — Revue de spécification (Spec ↔ Tests)¶

Type : Ambiguïté Référence : PD-241-specification.md §10 (Points à clarifier) / INV-241-03 / CA-241-03 Description : Le mécanisme de transmission du refresh token (header/body) n’est pas contractualisé. La règle « invalidé si présent » est donc non vérifiable côté backend et le test TC-NOM-02 dépend d’un prérequis non défini. Impact : CA-241-03 et INV-241-03 non testables de manière déterministe. Gravité : Majeur

Type : Ambiguïté Référence : PD-241-specification.md §10 (Points à clarifier) / INV-241-05 / CA-241-04 Description : Alignement err-code avec PD-106 (ERR-106-LOGOUT-FAILED ↔ ERR-241-LOGOUT-FAILED) non défini et statut HTTP attendu non précisé. Impact : Risque d’implémentations divergentes et tests non reproductibles. Gravité : Majeur

Type : Incohérence Spec↔Tests Référence : PD-241-tests.md §7 (TC-NEG-03) Description : Le test « rafales d’appels logout → réponses cohérentes (idempotence) » suppose un comportement d’idempotence non spécifié dans la spec. Impact : Test non contractuel, risque de faux négatif en validation. Gravité : Mineur

Type : Incohérence Spec↔Tests Référence : PD-241-tests.md §7 (TC-NEG-02) Description : Le test « refresh token déjà révoqué » suppose une réponse d’auth/invalid_token non spécifiée. Impact : Test non contractuel, risque de faux négatif. Gravité : Mineur

Type : Non testable Référence : PD-241-specification.md INV-241-06 / CA-241-06 Description : Effacement des données locales de session est hors périmètre backend et dépend d’un artefact PD-106. Impact : Conformité globale dépendante d’un artefact externe. Gravité : Bloquant