Le token est stocke dans un cookie HttpOnly+Secure pour 30 jours.