lexik_jwt_authentication:
    secret_key: '%env(resolve:JWT_SECRET_KEY)%'
    public_key: '%env(resolve:JWT_PUBLIC_KEY)%'
    pass_phrase: '%env(JWT_PASSPHRASE)%'
    token_ttl: '%env(int:JWT_TOKEN_TTL)%'
    # Tolerance d'horloge (en secondes) appliquee a la validation des claims
    # temporels iat / nbf / exp (LooseValidAt cote lcobucci). Sans cette marge
    # (defaut 0), un recul d'horloge entre la signature (/login_check) et la
    # requete suivante rend iat/nbf « dans le futur » -> « Invalid JWT Token »
    # (401). Observe en dev sous WSL2/Docker (horloge CLOCK_REALTIME non
    # monotone) : flakes intermittents de la suite PHPUnit (ERP-98). Benefice
    # aussi en prod si les noeuds derivent legerement entre eux.
    clock_skew: 15
    remove_token_from_body_when_cookies_used: true
    token_extractors:
        authorization_header:
            enabled: false
        cookie:
            enabled: true
            name: BEARER
        query_parameter:
            enabled: false
    set_cookies:
        BEARER:
            lifetime: '%env(int:JWT_COOKIE_TTL)%'
            samesite: lax
            path: /
            secure: '%env(bool:JWT_COOKIE_SECURE)%'
            httpOnly: true
    api_platform:
        check_path: /api/login_check
        username_path: username
        password_path: password