xsrf token = long chaine de caractère

token jwt = contient xsrf token qui est donc chiffré avec un clé privée

cookie = contient jwt token

reponse envoyé = contient xsrf token

1. renvoyer le cookie + xsrf token en entete pour faire des requetes API
2. vérifier que les 2 existent
3. vérifier qu’en déchiffrant la data du jwt qu’il est égal au xsrf