| Couverture manquante | INV-08 / CA-11 / TC-NOM-11 | Aucun mécanisme explicite dans le plan pour exposer un signal d’état dégradé en cas d’indisponibilité JWKS/Discovery (exigé par la spec et les tests). | Test TC-NOM-11 potentiellement irréalisable ; risque de non-conformité fail-closed observable. | MAJEUR |
| Couverture manquante | INV-07 / CA-09 / TC-NOM-09 | Le plan ne détaille pas l’application de REALM_POLICY/TENANT_POLICY (mapping realm/tenant normatif, valeurs contractuelles) ni les contrôles cross-realm/tenant. | Test TC-NOM-09 dépend d’un mapping explicite absent du plan ; risque de faux positifs/negatifs sur l’isolation. | MAJEUR |
| Non-conformité Spec | INV-04 / CA-10 / TC-NEG-04 | La politique de log/audit normative (liste blanche fermée) n’est pas reflétée : plan évoque un “AuthAuditInterceptor” mais ne contraint pas les champs autorisés/interdits. | Risque de logs non conformes ; tests TC-NOM-10 / TC-NEG-04 non assurés. | MAJEUR |
| Non-conformité Spec | INV-09 / INV-10 / INV-11 / CA-07 / CA-08 | Les valeurs normatives des claims (tenant/authz) et du modèle HYBRID (roles/scopes, AND/OR déclaré) ne sont pas reprises dans les DTO/guards décrits ; plan reste générique. | Tests TC-NOM-07/08/12 non garantis ; autorisation non déterministe possible. | MAJEUR |
| Hypothèse implicite | H‑T05 (horloge) non alignée sur JWT_CLOCK_SKEW_MAX | Plan ne mentionne pas la tolérance contractuelle de 120s pour exp/nbf/iat ; dépendance à une horloge “fiable” sans lien avec le paramètre normatif. | Risque de rejets divergents sur les tests temporels ; non‑conformité à CA‑05/INV‑02. | MINEUR |