capitalisation: intégration 28 entrées knowledge + 2 CLAUDE.md RL799_V2 (triage branche mcp_v1)

28 nouvelles sections intégrées dans 12 fichiers knowledge (backend risques/patterns,
frontend risques/patterns, workflow risques). Couvre rate limiting, RGPD, CSP Next.js,
refresh token TOCTOU, catch-all Prisma, distinction 401/403, tests E2E Playwright, etc.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

knowledge/frontend/risques/auth.md

@@ -112,3 +112,26 @@ if (user === null || user.role !== 'ADMIN') return <View />;
 - **Règle** : tout guard de rôle dans un composant React Native doit utiliser `useEffect` + redirect + rendu vide, jamais un return conditionnel direct
 
 - Contexte technique : React Native / Expo Router / Zustand auth — app-alexandrie 24-03-2026
+
+---
+
+<a id="risque-tests-structurels-obsoletes-migration-auth"></a>
+## Tests structurels obsolètes après migration du mécanisme d'auth
+
+### Risques
+
+- Lors de la migration d'un pattern `Authorization: Bearer` vers des cookies httpOnly, les tests structurels (qui mocquent `getSession()` et assertent sur les headers) deviennent tous faux sans que TypeScript ne détecte rien
+- Les mocks ne matchent plus le code réel, les tests passent ou échouent silencieusement
+
+### Symptômes
+
+- Tests frontend qui mocquent `getSession()` et assertent `Authorization: Bearer` sur les appels `fetch`, alors que le code utilise désormais `apiFetch` avec cookies (`credentials: 'include'`)
+- Faux positifs : les tests ne testent plus rien de réel
+
+### Bonnes pratiques / mitigations
+
+- Après toute migration d'un mécanisme d'auth frontend, auditer systématiquement les tests de services pour vérifier que les assertions portent sur le bon mécanisme (cookies vs headers)
+- Adapter les mocks pour patcher `apiFetch` au lieu de `getSession` + `fetch` brut
+- **Signal review** : `Authorization: Bearer` dans les tests alors que le code production utilise `credentials: 'include'`
+
+- Contexte technique : Vue 3 / auth migration — RL799_V2 08-04-2026