Less home code more F3

app/Controllers/AuthController.php

@@ -18,7 +18,7 @@ class AuthController extends BaseController
     {
         $this->verifyCsrf();
 
-        $username = trim((string) ($this->f3->get('POST.username') ?? ''));
+        $username = $this->f3->clean((string) ($this->f3->get('POST.username') ?? ''));
         $password = (string) ($this->f3->get('POST.password') ?? '');
 
         // User étend DB\SQL\Mapper — inutile de recréer un Mapper générique.
@@ -34,6 +34,7 @@ class AuthController extends BaseController
         }
 
         session_regenerate_id(true); // Prévient la fixation de session.
+        $this->resetCsrfToken(); // Le nouveau contexte repart avec un jeton dédié.
         $this->f3->set('SESSION.user_id', $user->id);
         $this->flash('success', 'Connexion réussie.');
         $this->f3->reroute('@dashboard');
@@ -43,6 +44,7 @@ class AuthController extends BaseController
     {
         $this->verifyCsrf();
         $this->f3->clear('SESSION.user_id');
+        $this->resetCsrfToken();
         session_regenerate_id(true); // Invalide l'ancien ID de session.
         $this->flash('success', 'Déconnexion effectuée.');
         $this->f3->reroute('@login');