J'utilise des JWT (JSON Web Tokens) pour l'authentification de mon API. Donne-moi une checklist de sécurité pour éviter les failles courantes : 1. **Algorithme** : Pourquoi forcer `HS256` ou `RS256` et refuser `None` ? 2. **Stockage** : LocalStorage vs HttpOnly Cookie (Avantages/Inconvénients XSS/CSRF). 3. **Expiration** : Durée de vie recommandée et gestion du Refresh Token. 4. **Signature** : Gestion de la clé secrète.