Issue #78: feat: Security Hardening for Production (Rate limiting, 2FA, audit logs)
- State:
OPEN
- Milestone:
Jalon 1: Sécurité & GDPR 🔒
- Labels:
enhancement,phase:vps track:software,priority:critical security
- Assignees:
Unassigned
- Created:
2025-11-01
- Updated:
2025-11-18
- URL:
Description
# Issue #005 - Security Hardening for Production
**Priorité**: 🔴 CRITIQUE
**Estimation**: 10-12 heures
**Phase**: VPS MVP (Nov 2025 - Mar 2026)
## 📋 Description
Renforcement de la sécurité pour la mise en production : rate limiting, JWT refresh tokens, CORS strict, structured logging, 2FA optionnel.
## 🎯 Objectifs
- [ ] Rate limiting par IP et par utilisateur
- [ ] JWT refresh token rotation
- [ ] CORS strict (whitelist domains)
- [ ] Structured logging (JSON format)
- [ ] 2FA optionnel (TOTP)
- [ ] Audit logs pour actions sensibles
- [ ] Headers sécurité (HSTS, CSP, etc.)
## 📐 Features
### 1. Rate Limiting
- 100 req/min par IP (endpoints publics)
- 1000 req/min authentifié
- 5 tentatives login/15min
### 2. JWT Refresh Tokens
- Access token: 15 min
- Refresh token: 7 jours
- Rotation automatique
### 3. Audit Logs
- Login/Logout
- Modifications données sensibles
- Suppressions
- Export GDPR
## ✅ Critères d'Acceptation
- Rate limiting actif avec Redis
- Refresh tokens fonctionnels
- Audit logs stockés PostgreSQL
- Tests E2E sécurité
- CORS configuré production
---
**Voir**: \`issues/critical/005-security-hardening.md\`