From 8f7e61bda067b3cb16cd30ebffa94ce03a1bf9a4 Mon Sep 17 00:00:00 2001
From: julien <julien.deb@netig.net>
Date: Mon, 16 Mar 2026 01:47:07 +0100
Subject: [PATCH] first commit

---
 .dockerignore                                 |   61 +
 .env.example                                  |   45 +
 .gitignore                                    |   56 +
 CONTRIBUTING.md                               |  116 +
 LICENSE                                       |   21 +
 README.md                                     |  177 +
 assets/scss/abstracts/_mixins.scss            |   13 +
 assets/scss/abstracts/_variables.scss         |   73 +
 assets/scss/base/_reset.scss                  |   16 +
 assets/scss/base/_typography.scss             |  105 +
 assets/scss/components/_alerts.scss           |   24 +
 assets/scss/components/_badges.scss           |   38 +
 assets/scss/components/_buttons.scss          |   57 +
 assets/scss/components/_card.scss             |  182 +
 assets/scss/components/_forms.scss            |  200 +
 assets/scss/components/_post.scss             |   39 +
 assets/scss/components/_upload.scss           |   39 +
 assets/scss/layout/_footer.scss               |   13 +
 assets/scss/layout/_header.scss               |   79 +
 assets/scss/main.scss                         |   31 +
 assets/scss/pages/_admin.scss                 |  234 +
 assets/scss/pages/_home.scss                  |   58 +
 bin/provision.php                             |   19 +
 composer.json                                 |   30 +
 composer.lock                                 | 5908 +++++++++++++++++
 config/container.php                          |  195 +
 database/migrations/001_create_users.php      |   19 +
 database/migrations/002_create_categories.php |   23 +
 database/migrations/003_create_posts.php      |   31 +
 database/migrations/004_create_media.php      |   29 +
 .../migrations/005_create_password_resets.php |   26 +
 database/migrations/006_create_posts_fts.php  |   68 +
 .../migrations/007_create_login_attempts.php  |   27 +
 .../008_sync_posts_fts_when_users_change.php  |   25 +
 docker-compose.yml                            |   52 +
 docker/nginx/default.conf                     |   54 +
 docker/php/Dockerfile                         |   44 +
 docker/php/entrypoint.sh                      |   42 +
 docker/php/php.ini                            |   14 +
 docs/ARCHITECTURE.md                          |  442 ++
 docs/GUIDE.md                                 | 1833 +++++
 package-lock.json                             |  444 ++
 package.json                                  |   20 +
 phpstan.neon                                  |    6 +
 phpunit.xml                                   |   27 +
 public/favicon.png                            |  Bin 0 -> 801 bytes
 public/index.php                              |   15 +
 src/Auth/AccountController.php                |  114 +
 src/Auth/AuthController.php                   |   75 +
 src/Auth/AuthService.php                      |  193 +
 src/Auth/AuthServiceInterface.php             |   84 +
 .../Exception/InvalidResetTokenException.php  |   16 +
 src/Auth/LoginAttemptRepository.php           |  116 +
 src/Auth/LoginAttemptRepositoryInterface.php  |   44 +
 src/Auth/Middleware/AdminMiddleware.php       |   50 +
 src/Auth/Middleware/AuthMiddleware.php        |   47 +
 src/Auth/Middleware/EditorMiddleware.php      |   50 +
 src/Auth/PasswordResetController.php          |  218 +
 src/Auth/PasswordResetRepository.php          |   74 +
 src/Auth/PasswordResetRepositoryInterface.php |   21 +
 src/Auth/PasswordResetService.php             |  105 +
 src/Auth/PasswordResetServiceInterface.php    |   56 +
 src/Category/Category.php                     |   91 +
 src/Category/CategoryController.php           |  114 +
 src/Category/CategoryRepository.php           |  134 +
 src/Category/CategoryRepositoryInterface.php  |   74 +
 src/Category/CategoryService.php              |  120 +
 src/Category/CategoryServiceInterface.php     |   64 +
 src/Media/Exception/FileTooLargeException.php |   16 +
 .../Exception/InvalidMimeTypeException.php    |   15 +
 src/Media/Exception/StorageException.php      |   12 +
 src/Media/Media.php                           |  130 +
 src/Media/MediaController.php                 |  180 +
 src/Media/MediaRepository.php                 |  139 +
 src/Media/MediaRepositoryInterface.php        |   65 +
 src/Media/MediaService.php                    |  228 +
 src/Media/MediaServiceInterface.php           |   62 +
 src/Post/Post.php                             |  252 +
 src/Post/PostController.php                   |  379 ++
 src/Post/PostExtension.php                    |  205 +
 src/Post/PostRepository.php                   |  334 +
 src/Post/PostRepositoryInterface.php          |  113 +
 src/Post/PostService.php                      |  252 +
 src/Post/PostServiceInterface.php             |  119 +
 src/Post/RssController.php                    |   94 +
 src/Shared/Bootstrap.php                      |  213 +
 src/Shared/Config.php                         |   61 +
 src/Shared/Database/Migrator.php              |  137 +
 src/Shared/Database/Provisioner.php           |   37 +
 src/Shared/Database/Seeder.php                |   71 +
 src/Shared/Exception/NotFoundException.php    |   22 +
 src/Shared/Extension/AppExtension.php         |   36 +
 src/Shared/Extension/CsrfExtension.php        |   47 +
 src/Shared/Extension/SessionExtension.php     |   42 +
 src/Shared/Html/HtmlPurifierFactory.php       |   66 +
 src/Shared/Html/HtmlSanitizer.php             |   34 +
 src/Shared/Html/HtmlSanitizerInterface.php    |   19 +
 src/Shared/Http/ClientIpResolver.php          |   58 +
 src/Shared/Http/FlashService.php              |   45 +
 src/Shared/Http/FlashServiceInterface.php     |   31 +
 src/Shared/Http/SessionManager.php            |  112 +
 src/Shared/Http/SessionManagerInterface.php   |   56 +
 src/Shared/Mail/MailService.php               |   95 +
 src/Shared/Mail/MailServiceInterface.php      |   26 +
 src/Shared/Routes.php                         |  125 +
 src/Shared/Util/DateParser.php                |   37 +
 src/Shared/Util/SlugHelper.php                |   47 +
 .../Exception/DuplicateEmailException.php     |   18 +
 .../Exception/DuplicateUsernameException.php  |   18 +
 src/User/Exception/InvalidRoleException.php   |   21 +
 src/User/Exception/WeakPasswordException.php  |   21 +
 src/User/User.php                             |  191 +
 src/User/UserController.php                   |  234 +
 src/User/UserRepository.php                   |  150 +
 src/User/UserRepositoryInterface.php          |   80 +
 src/User/UserService.php                      |   89 +
 src/User/UserServiceInterface.php             |   69 +
 tests/Auth/AccountControllerTest.php          |  207 +
 tests/Auth/AuthControllerTest.php             |  177 +
 tests/Auth/AuthServiceRateLimitTest.php       |  220 +
 tests/Auth/AuthServiceTest.php                |  244 +
 tests/Auth/LoginAttemptRepositoryTest.php     |  276 +
 tests/Auth/MiddlewareTest.php                 |  109 +
 tests/Auth/PasswordResetControllerTest.php    |  409 ++
 tests/Auth/PasswordResetRepositoryTest.php    |  249 +
 .../PasswordResetServiceIntegrationTest.php   |   63 +
 tests/Auth/PasswordResetServiceTest.php       |  316 +
 tests/Category/CategoryControllerTest.php     |  198 +
 tests/Category/CategoryModelTest.php          |   48 +
 tests/Category/CategoryRepositoryTest.php     |  380 ++
 tests/Category/CategoryServiceTest.php        |  188 +
 tests/ControllerTestCase.php                  |  144 +
 tests/Media/MediaControllerTest.php           |  311 +
 tests/Media/MediaModelTest.php                |   53 +
 tests/Media/MediaRepositoryTest.php           |  336 +
 ...diaServiceDuplicateAfterInsertRaceTest.php |   90 +
 tests/Media/MediaServiceEdgeCasesTest.php     |   45 +
 tests/Media/MediaServiceInvalidMimeTest.php   |   40 +
 .../Media/MediaServiceInvalidTempPathTest.php |   33 +
 tests/Media/MediaServiceTest.php              |  256 +
 .../PostConcurrentUpdateIntegrationTest.php   |   66 +
 tests/Post/PostControllerTest.php             |  505 ++
 tests/Post/PostExtensionTest.php              |   77 +
 .../PostFtsUsernameSyncIntegrationTest.php    |   38 +
 tests/Post/PostModelEdgeCasesTest.php         |   29 +
 tests/Post/PostModelTest.php                  |   98 +
 tests/Post/PostRepositoryTest.php             |  546 ++
 tests/Post/PostServiceTest.php                |  228 +
 tests/Post/RssControllerTest.php              |  182 +
 tests/Shared/ClientIpResolverTest.php         |   55 +
 tests/Shared/ConfigTest.php                   |   53 +
 tests/Shared/DateParserTest.php               |   93 +
 tests/Shared/ExtensionTest.php                |   60 +
 tests/Shared/FlashServiceConsumeTest.php      |   26 +
 tests/Shared/FlashServiceTest.php             |   42 +
 tests/Shared/HelperEdgeCasesTest.php          |   24 +
 tests/Shared/HtmlPurifierFactoryTest.php      |   32 +
 tests/Shared/HtmlSanitizerTest.php            |  239 +
 tests/Shared/MigratorTest.php                 |  212 +
 tests/Shared/SeederTest.php                   |  207 +
 tests/Shared/SessionManagerEdgeCasesTest.php  |   40 +
 tests/Shared/SessionManagerTest.php           |  166 +
 tests/Shared/SlugHelperTest.php               |  121 +
 tests/User/UserControllerTest.php             |  441 ++
 tests/User/UserRepositoryTest.php             |  357 +
 tests/User/UserServiceTest.php                |  270 +
 tests/User/UserTest.php                       |  232 +
 views/admin/categories/index.twig             |   72 +
 views/admin/media/index.twig                  |   70 +
 views/admin/posts/form.twig                   |  139 +
 views/admin/posts/index.twig                  |  107 +
 views/admin/users/form.twig                   |   74 +
 views/admin/users/index.twig                  |   95 +
 views/emails/password-reset.twig              |   82 +
 views/layout.twig                             |   30 +
 views/pages/account/password-change.twig      |   60 +
 views/pages/auth/login.twig                   |   50 +
 views/pages/auth/password-forgot.twig         |   44 +
 views/pages/auth/password-reset.twig          |   46 +
 views/pages/error.twig                        |   11 +
 views/pages/home.twig                         |   94 +
 views/pages/post/detail.twig                  |   48 +
 views/partials/_admin_nav.twig                |   10 +
 views/partials/_footer.twig                   |   11 +
 views/partials/_header.twig                   |   24 +
 185 files changed, 27731 insertions(+)
 create mode 100644 .dockerignore
 create mode 100644 .env.example
 create mode 100644 .gitignore
 create mode 100644 CONTRIBUTING.md
 create mode 100644 LICENSE
 create mode 100644 README.md
 create mode 100644 assets/scss/abstracts/_mixins.scss
 create mode 100644 assets/scss/abstracts/_variables.scss
 create mode 100644 assets/scss/base/_reset.scss
 create mode 100644 assets/scss/base/_typography.scss
 create mode 100644 assets/scss/components/_alerts.scss
 create mode 100644 assets/scss/components/_badges.scss
 create mode 100644 assets/scss/components/_buttons.scss
 create mode 100644 assets/scss/components/_card.scss
 create mode 100644 assets/scss/components/_forms.scss
 create mode 100644 assets/scss/components/_post.scss
 create mode 100644 assets/scss/components/_upload.scss
 create mode 100644 assets/scss/layout/_footer.scss
 create mode 100644 assets/scss/layout/_header.scss
 create mode 100644 assets/scss/main.scss
 create mode 100644 assets/scss/pages/_admin.scss
 create mode 100644 assets/scss/pages/_home.scss
 create mode 100644 bin/provision.php
 create mode 100644 composer.json
 create mode 100644 composer.lock
 create mode 100644 config/container.php
 create mode 100644 database/migrations/001_create_users.php
 create mode 100644 database/migrations/002_create_categories.php
 create mode 100644 database/migrations/003_create_posts.php
 create mode 100644 database/migrations/004_create_media.php
 create mode 100644 database/migrations/005_create_password_resets.php
 create mode 100644 database/migrations/006_create_posts_fts.php
 create mode 100644 database/migrations/007_create_login_attempts.php
 create mode 100644 database/migrations/008_sync_posts_fts_when_users_change.php
 create mode 100644 docker-compose.yml
 create mode 100644 docker/nginx/default.conf
 create mode 100644 docker/php/Dockerfile
 create mode 100644 docker/php/entrypoint.sh
 create mode 100644 docker/php/php.ini
 create mode 100644 docs/ARCHITECTURE.md
 create mode 100644 docs/GUIDE.md
 create mode 100644 package-lock.json
 create mode 100644 package.json
 create mode 100644 phpstan.neon
 create mode 100644 phpunit.xml
 create mode 100644 public/favicon.png
 create mode 100644 public/index.php
 create mode 100644 src/Auth/AccountController.php
 create mode 100644 src/Auth/AuthController.php
 create mode 100644 src/Auth/AuthService.php
 create mode 100644 src/Auth/AuthServiceInterface.php
 create mode 100644 src/Auth/Exception/InvalidResetTokenException.php
 create mode 100644 src/Auth/LoginAttemptRepository.php
 create mode 100644 src/Auth/LoginAttemptRepositoryInterface.php
 create mode 100644 src/Auth/Middleware/AdminMiddleware.php
 create mode 100644 src/Auth/Middleware/AuthMiddleware.php
 create mode 100644 src/Auth/Middleware/EditorMiddleware.php
 create mode 100644 src/Auth/PasswordResetController.php
 create mode 100644 src/Auth/PasswordResetRepository.php
 create mode 100644 src/Auth/PasswordResetRepositoryInterface.php
 create mode 100644 src/Auth/PasswordResetService.php
 create mode 100644 src/Auth/PasswordResetServiceInterface.php
 create mode 100644 src/Category/Category.php
 create mode 100644 src/Category/CategoryController.php
 create mode 100644 src/Category/CategoryRepository.php
 create mode 100644 src/Category/CategoryRepositoryInterface.php
 create mode 100644 src/Category/CategoryService.php
 create mode 100644 src/Category/CategoryServiceInterface.php
 create mode 100644 src/Media/Exception/FileTooLargeException.php
 create mode 100644 src/Media/Exception/InvalidMimeTypeException.php
 create mode 100644 src/Media/Exception/StorageException.php
 create mode 100644 src/Media/Media.php
 create mode 100644 src/Media/MediaController.php
 create mode 100644 src/Media/MediaRepository.php
 create mode 100644 src/Media/MediaRepositoryInterface.php
 create mode 100644 src/Media/MediaService.php
 create mode 100644 src/Media/MediaServiceInterface.php
 create mode 100644 src/Post/Post.php
 create mode 100644 src/Post/PostController.php
 create mode 100644 src/Post/PostExtension.php
 create mode 100644 src/Post/PostRepository.php
 create mode 100644 src/Post/PostRepositoryInterface.php
 create mode 100644 src/Post/PostService.php
 create mode 100644 src/Post/PostServiceInterface.php
 create mode 100644 src/Post/RssController.php
 create mode 100644 src/Shared/Bootstrap.php
 create mode 100644 src/Shared/Config.php
 create mode 100644 src/Shared/Database/Migrator.php
 create mode 100644 src/Shared/Database/Provisioner.php
 create mode 100644 src/Shared/Database/Seeder.php
 create mode 100644 src/Shared/Exception/NotFoundException.php
 create mode 100644 src/Shared/Extension/AppExtension.php
 create mode 100644 src/Shared/Extension/CsrfExtension.php
 create mode 100644 src/Shared/Extension/SessionExtension.php
 create mode 100644 src/Shared/Html/HtmlPurifierFactory.php
 create mode 100644 src/Shared/Html/HtmlSanitizer.php
 create mode 100644 src/Shared/Html/HtmlSanitizerInterface.php
 create mode 100644 src/Shared/Http/ClientIpResolver.php
 create mode 100644 src/Shared/Http/FlashService.php
 create mode 100644 src/Shared/Http/FlashServiceInterface.php
 create mode 100644 src/Shared/Http/SessionManager.php
 create mode 100644 src/Shared/Http/SessionManagerInterface.php
 create mode 100644 src/Shared/Mail/MailService.php
 create mode 100644 src/Shared/Mail/MailServiceInterface.php
 create mode 100644 src/Shared/Routes.php
 create mode 100644 src/Shared/Util/DateParser.php
 create mode 100644 src/Shared/Util/SlugHelper.php
 create mode 100644 src/User/Exception/DuplicateEmailException.php
 create mode 100644 src/User/Exception/DuplicateUsernameException.php
 create mode 100644 src/User/Exception/InvalidRoleException.php
 create mode 100644 src/User/Exception/WeakPasswordException.php
 create mode 100644 src/User/User.php
 create mode 100644 src/User/UserController.php
 create mode 100644 src/User/UserRepository.php
 create mode 100644 src/User/UserRepositoryInterface.php
 create mode 100644 src/User/UserService.php
 create mode 100644 src/User/UserServiceInterface.php
 create mode 100644 tests/Auth/AccountControllerTest.php
 create mode 100644 tests/Auth/AuthControllerTest.php
 create mode 100644 tests/Auth/AuthServiceRateLimitTest.php
 create mode 100644 tests/Auth/AuthServiceTest.php
 create mode 100644 tests/Auth/LoginAttemptRepositoryTest.php
 create mode 100644 tests/Auth/MiddlewareTest.php
 create mode 100644 tests/Auth/PasswordResetControllerTest.php
 create mode 100644 tests/Auth/PasswordResetRepositoryTest.php
 create mode 100644 tests/Auth/PasswordResetServiceIntegrationTest.php
 create mode 100644 tests/Auth/PasswordResetServiceTest.php
 create mode 100644 tests/Category/CategoryControllerTest.php
 create mode 100644 tests/Category/CategoryModelTest.php
 create mode 100644 tests/Category/CategoryRepositoryTest.php
 create mode 100644 tests/Category/CategoryServiceTest.php
 create mode 100644 tests/ControllerTestCase.php
 create mode 100644 tests/Media/MediaControllerTest.php
 create mode 100644 tests/Media/MediaModelTest.php
 create mode 100644 tests/Media/MediaRepositoryTest.php
 create mode 100644 tests/Media/MediaServiceDuplicateAfterInsertRaceTest.php
 create mode 100644 tests/Media/MediaServiceEdgeCasesTest.php
 create mode 100644 tests/Media/MediaServiceInvalidMimeTest.php
 create mode 100644 tests/Media/MediaServiceInvalidTempPathTest.php
 create mode 100644 tests/Media/MediaServiceTest.php
 create mode 100644 tests/Post/PostConcurrentUpdateIntegrationTest.php
 create mode 100644 tests/Post/PostControllerTest.php
 create mode 100644 tests/Post/PostExtensionTest.php
 create mode 100644 tests/Post/PostFtsUsernameSyncIntegrationTest.php
 create mode 100644 tests/Post/PostModelEdgeCasesTest.php
 create mode 100644 tests/Post/PostModelTest.php
 create mode 100644 tests/Post/PostRepositoryTest.php
 create mode 100644 tests/Post/PostServiceTest.php
 create mode 100644 tests/Post/RssControllerTest.php
 create mode 100644 tests/Shared/ClientIpResolverTest.php
 create mode 100644 tests/Shared/ConfigTest.php
 create mode 100644 tests/Shared/DateParserTest.php
 create mode 100644 tests/Shared/ExtensionTest.php
 create mode 100644 tests/Shared/FlashServiceConsumeTest.php
 create mode 100644 tests/Shared/FlashServiceTest.php
 create mode 100644 tests/Shared/HelperEdgeCasesTest.php
 create mode 100644 tests/Shared/HtmlPurifierFactoryTest.php
 create mode 100644 tests/Shared/HtmlSanitizerTest.php
 create mode 100644 tests/Shared/MigratorTest.php
 create mode 100644 tests/Shared/SeederTest.php
 create mode 100644 tests/Shared/SessionManagerEdgeCasesTest.php
 create mode 100644 tests/Shared/SessionManagerTest.php
 create mode 100644 tests/Shared/SlugHelperTest.php
 create mode 100644 tests/User/UserControllerTest.php
 create mode 100644 tests/User/UserRepositoryTest.php
 create mode 100644 tests/User/UserServiceTest.php
 create mode 100644 tests/User/UserTest.php
 create mode 100644 views/admin/categories/index.twig
 create mode 100644 views/admin/media/index.twig
 create mode 100644 views/admin/posts/form.twig
 create mode 100644 views/admin/posts/index.twig
 create mode 100644 views/admin/users/form.twig
 create mode 100644 views/admin/users/index.twig
 create mode 100644 views/emails/password-reset.twig
 create mode 100644 views/layout.twig
 create mode 100644 views/pages/account/password-change.twig
 create mode 100644 views/pages/auth/login.twig
 create mode 100644 views/pages/auth/password-forgot.twig
 create mode 100644 views/pages/auth/password-reset.twig
 create mode 100644 views/pages/error.twig
 create mode 100644 views/pages/home.twig
 create mode 100644 views/pages/post/detail.twig
 create mode 100644 views/partials/_admin_nav.twig
 create mode 100644 views/partials/_footer.twig
 create mode 100644 views/partials/_header.twig

diff --git a/.dockerignore b/.dockerignore
new file mode 100644
index 0000000..5aa552c
--- /dev/null
+++ b/.dockerignore
@@ -0,0 +1,61 @@
+# ============================================
+# Environnement & Configuration
+# ============================================
+.env
+
+# ============================================
+# Dépendances Composer
+# ============================================
+# Reconstruites dans l'image par composer install
+vendor/
+
+# ============================================
+# Dépendances NPM
+# ============================================
+# Reconstruites dans l'image par npm install
+node_modules/
+
+# ============================================
+# Assets générés
+# ============================================
+# Reconstruits dans l'image par npm run build
+public/assets/
+
+# ============================================
+# Données persistantes (bind mounts)
+# ============================================
+# Montés depuis l'hôte au démarrage — ne pas inclure dans l'image
+data/
+public/media/
+database/*.sqlite
+
+# ============================================
+# Cache & Logs
+# ============================================
+var/
+coverage/
+.php-cs-fixer.cache
+.phpstan/
+.phpunit.result.cache
+
+# ============================================
+# Tests & Documentation
+# ============================================
+tests/
+docs/
+
+# ============================================
+# Versioning
+# ============================================
+.git/
+
+# ============================================
+# IDE & OS
+# ============================================
+.vscode/
+.idea/
+*.swp
+*.swo
+*~
+.DS_Store
+Thumbs.db
diff --git a/.env.example b/.env.example
new file mode 100644
index 0000000..e58c8eb
--- /dev/null
+++ b/.env.example
@@ -0,0 +1,45 @@
+# =============================================================================
+# Général
+# =============================================================================
+
+# Environnement de l'application (development, test ou production)
+APP_ENV=development
+
+# Nom du blog (utilisé dans le flux RSS et les emails)
+APP_NAME="Slim Blog"
+
+# URL de base de l'application (utilisée pour les liens dans les emails et le flux RSS).
+#   Développement  : APP_URL=http://localhost:8080
+#   Production     : APP_URL=https://blog.exemple.com
+APP_URL=http://localhost:8080
+
+# Fuseau horaire
+TIMEZONE=Europe/Paris
+
+# =============================================================================
+# Administration
+# =============================================================================
+
+# Compte administrateur (créé automatiquement au premier démarrage)
+ADMIN_USERNAME=admin
+ADMIN_EMAIL=admin@example.com
+ADMIN_PASSWORD=changeme123
+
+# =============================================================================
+# Email
+# =============================================================================
+
+MAIL_HOST=smtp.example.com
+MAIL_PORT=587
+MAIL_USERNAME=noreply@example.com
+MAIL_PASSWORD=your_smtp_password
+MAIL_ENCRYPTION=tls
+MAIL_FROM=noreply@example.com
+MAIL_FROM_NAME="Slim Blog"
+
+# =============================================================================
+# Uploads
+# =============================================================================
+
+# Taille maximale en octets (doit être < upload_max_filesize dans docker/php/php.ini en production)
+UPLOAD_MAX_SIZE=5242880
diff --git a/.gitignore b/.gitignore
new file mode 100644
index 0000000..f7ea1d3
--- /dev/null
+++ b/.gitignore
@@ -0,0 +1,56 @@
+# ============================================
+# Environnement & Configuration
+# ============================================
+.env
+
+# ============================================
+# Dépendances Composer
+# ============================================
+vendor/
+
+# ============================================
+# Dépendances NPM
+# ============================================
+node_modules/
+
+# ============================================
+# Assets générés
+# ============================================
+public/assets/
+
+# ============================================
+# Base de données
+# ============================================
+database/*.sqlite
+database/*.sqlite-shm
+database/*.sqlite-wal
+
+# ============================================
+# Cache & Logs
+# ============================================
+coverage/
+var/
+.php-cs-fixer.cache
+.phpstan/
+.phpunit.result.cache
+
+# ============================================
+# Media
+# ============================================
+public/media/
+
+# ============================================
+# Docker volumes
+# ============================================
+data/
+
+# ============================================
+# IDE & OS
+# ============================================
+.vscode/
+.idea/
+*.swp
+*.swo
+*~
+.DS_Store
+Thumbs.db
diff --git a/CONTRIBUTING.md b/CONTRIBUTING.md
new file mode 100644
index 0000000..25a1b6e
--- /dev/null
+++ b/CONTRIBUTING.md
@@ -0,0 +1,116 @@
+# Contribuer au projet
+
+## Prérequis
+
+Les mêmes que pour le développement (voir [README](README.md)), plus :
+
+- PHP 8.1+ avec l'extension `dom` (requise par HTMLPurifier et PHPUnit)
+
+## Lancer les tests
+
+```bash
+composer install
+vendor/bin/phpunit
+```
+
+Avec rapport de couverture (nécessite Xdebug ou PCOV) :
+
+```bash
+vendor/bin/phpunit --coverage-text
+```
+
+## Analyse statique (PHPStan)
+
+```bash
+vendor/bin/phpstan analyse
+```
+
+Cette commande utilise `phpstan.neon` qui définit le niveau 8 et les chemins analysés. PDO est nativement connu de PHPStan — aucun stub supplémentaire n'est nécessaire.
+
+PHPStan est configuré au niveau 8, le plus strict. L'exécuter avant toute Pull Request garantit la cohérence des types et détecte les erreurs avant l'exécution.
+
+## Suite de tests
+
+Les tests sont dans `tests/`, organisés en miroir de `src/`.
+
+### `tests/Auth/`
+
+| Fichier                        | Classe testée             | Ce qui est vérifié |
+|--------------------------------|---------------------------|---------------------|
+| `AuthServiceTest`              | `AuthService`             | `createUser()` (normalisation, unicité via exceptions métier, longueur mdp), `authenticate()`, `changePassword()`, `login/logout/isLoggedIn()` |
+| `AuthServiceRateLimitTest`     | `AuthService`             | `checkRateLimit()` (IP libre, verrouillée, expirée, minimum 1 minute, `deleteExpired()`), `recordFailure()` (constantes MAX_ATTEMPTS/LOCK_MINUTES), `resetRateLimit()` |
+| `LoginAttemptRepositoryTest`   | `LoginAttemptRepository`  | `findByIp()`, `recordFailure()` (INSERT vs UPDATE, compteur, seuil exact, fenêtre temporelle), `resetForIp()`, `deleteExpired()` |
+| `PasswordResetServiceTest`     | `PasswordResetService`    | `requestReset()` (email inconnu silencieux, invalidation, création, envoi, URL), `validateToken()` (inexistant, expiré, valide), `resetPassword()` (token invalide, mdp trop court via `WeakPasswordException`, mise à jour + consommation) |
+| `PasswordResetRepositoryTest`  | `PasswordResetRepository` | `create()`, `findActiveByHash()` (filtre `used_at = null`), `invalidateByUserId()` et `markAsUsed()` (jamais de `delete`) |
+
+### `tests/User/`
+
+| Fichier               | Classe testée    | Ce qui est vérifié |
+|-----------------------|------------------|---------------------|
+| `UserTest`            | `User`           | Construction, validation (username, email, hash, rôle), limites min/max, `fromArray()` |
+| `UserRepositoryTest`  | `UserRepository` | `findAll/ById/ByUsername/ByEmail()`, `create()`, `updatePassword()`, `delete()` |
+
+### `tests/Shared/`
+
+| Fichier               | Classe testée    | Ce qui est vérifié |
+|-----------------------|------------------|---------------------|
+| `SessionManagerTest`  | `SessionManager` / `SessionManagerInterface` | `isAuthenticated()`, `getUserId()`, rôles, écriture `$_SESSION`, `destroy()` |
+| `HtmlSanitizerTest`   | `HtmlSanitizer`  | Balises autorisées conservées, XSS supprimé (`<script>`, handlers JS, `javascript:`, `data:`, `<iframe>`, `<form>`), CSS (`text-align` conservé, reste supprimé) |
+| `MigratorTest`        | `Migrator`       | Création de la table `migrations`, idempotence de `run()`, non-rejeu des migrations déjà appliquées, enregistrement en table, `syncFtsIndex()` (indexation des articles absents, absence de doublons) |
+| `SeederTest`          | `Seeder`         | Insertion du compte admin quand absent, idempotence (pas d'INSERT si le compte existe), normalisation username/email, hachage bcrypt, format `created_at` |
+
+## Conventions
+
+### Mocks
+
+Les services métier (`AuthService`, `PasswordResetService`, `PostService`) utilisent les **interfaces** comme type des dépendances. Mocker l'interface plutôt que la classe concrète :
+
+```php
+// ✅ Correct
+$repo = $this->createMock(UserRepositoryInterface::class);
+
+// ❌ À éviter
+$repo = $this->createMock(UserRepository::class);
+```
+
+Les tests de repositories (`UserRepositoryTest`, etc.) testent l'implémentation concrète avec un mock PDO — c'est intentionnel.
+
+### Exceptions métier
+
+Les erreurs métier doivent lever l'exception la plus spécifique disponible :
+
+| Situation                          | Exception                         | Namespace                    |
+|------------------------------------|-----------------------------------|------------------------------|
+| Nom d'utilisateur déjà pris        | `DuplicateUsernameException`      | `App\User\Exception`         |
+| Email déjà utilisé                 | `DuplicateEmailException`         | `App\User\Exception`         |
+| Mot de passe trop court            | `WeakPasswordException`           | `App\User\Exception`         |
+| Entité introuvable en base         | `NotFoundException`               | `App\Shared\Exception`       |
+
+### Ajouter un test
+
+- **Nommage** : `test` + description camelCase français (`testCreateUserNomDejaUtilise`)
+- **Structure** : Arrange / Act / Assert, une assertion logique par test
+- **Isolation** : dépendances toujours mockées via leur interface
+- **PHPDoc** : chaque méthode de test est documentée avec une ligne décrivant le comportement attendu
+
+### Ajouter un domaine
+
+Voir la section *Domaines PHP* dans [Architecture](docs/ARCHITECTURE.md). Lors de l'ajout d'un domaine, créer systématiquement :
+
+1. L'entité (`NomDomaine/NomEntite.php`)
+2. L'interface du dépôt (`NomDomaine/NomEntiteRepositoryInterface.php`)
+3. L'implémentation du dépôt (`NomDomaine/NomEntiteRepository.php implements NomEntiteRepositoryInterface`)
+4. Les exceptions métier si nécessaires (`NomDomaine/Exception/`)
+5. Les tests dans `tests/NomDomaine/`
+
+## Formatage du code
+
+```bash
+vendor/bin/php-cs-fixer fix
+```
+
+Prévisualiser sans appliquer :
+
+```bash
+vendor/bin/php-cs-fixer fix --dry-run
+```
diff --git a/LICENSE b/LICENSE
new file mode 100644
index 0000000..a3fed6e
--- /dev/null
+++ b/LICENSE
@@ -0,0 +1,21 @@
+MIT License
+
+Copyright (c) 2026 NETig
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.
diff --git a/README.md b/README.md
new file mode 100644
index 0000000..b53abc9
--- /dev/null
+++ b/README.md
@@ -0,0 +1,177 @@
+# Slim Blog
+
+![PHP](https://img.shields.io/badge/PHP-8.1%2B-777BB4?logo=php&logoColor=white)
+![Slim](https://img.shields.io/badge/Slim-4-74a045)
+![PHPStan](https://img.shields.io/badge/PHPStan-niveau%208-blue)
+![Tests](https://img.shields.io/badge/tests-355%20passing-brightgreen)
+![Licence](https://img.shields.io/badge/licence-MIT-green)
+
+Blog multi-utilisateurs modulaire développé avec Slim 4. Les domaines `Auth`, `Category`, `Media`, `User`
+et `Shared` sont indépendants du domaine métier et réutilisables sans modification pour d'autres
+projets (boutique, portfolio…).
+
+## Fonctionnalités
+
+- **Articles** — création, édition, suppression avec éditeur WYSIWYG, slugs stables
+- **Catégories** — filtrage sur la page d'accueil et dans l'interface admin
+- **Médias** — upload WebP avec déduplication SHA-256
+- **Recherche** — full-text FTS5 cumulable avec le filtre catégorie
+- **Comptes** — trois rôles (`user`, `editor`, `admin`), réinitialisation de mot de passe par email
+- **RSS** — flux 2.0 des 20 derniers articles (`/rss.xml`)
+- **Protection brute-force** — verrouillage par IP après trop de tentatives échouées sur la connexion et la réinitialisation de mot de passe
+
+## Stack
+
+| Rôle              | Librairie                                                  |
+|-------------------|------------------------------------------------------------|
+| Framework HTTP    | [Slim 4](https://www.slimframework.com)                    |
+| Base de données   | [SQLite](https://sqlite.org) via PDO natif                 |
+| Templates         | [Twig](https://twig.symfony.com)                           |
+| CSS               | [Sass](https://sass-lang.com) (7-1, BEM)                   |
+| Éditeur WYSIWYG   | [Trumbowyg](https://alex-d.github.io/Trumbowyg/)          |
+| Emails            | [PHPMailer](https://github.com/PHPMailer/PHPMailer)        |
+| Logging           | [Monolog](https://github.com/Seldaek/monolog)              |
+| Sanitisation HTML | [HTMLPurifier](http://htmlpurifier.org)                    |
+| Protection CSRF   | [Slim CSRF](https://github.com/slimphp/Slim-Csrf)          |
+| Injection de dépendances | [PHP-DI](https://php-di.org) (autowiring)           |
+| Analyse statique  | [PHPStan](https://phpstan.org) (niveau 8)                  |
+
+## Développement
+
+**Prérequis :** PHP 8.1+ avec `pdo_sqlite`, `intl`, `fileinfo`, `gd` (WebP), `xml` (dom), Composer, Node.js 18+
+
+```bash
+git clone https://git.netig.net/netig/slim-blog
+cd slim-blog
+composer install
+npm install && npm run build
+cp .env.example .env
+php -S localhost:8080 -t public
+```
+
+Pour surveiller les modifications SCSS et recompiler automatiquement en développement :
+
+```bash
+npm run watch
+```
+
+> `npm run watch` est réservé au développement local. En production, le CSS est compilé une fois lors du build Docker.
+
+Pour tester l'upload de fichiers, augmenter les limites PHP :
+
+```bash
+php -S localhost:8080 -t public -d upload_max_filesize=6M -d post_max_size=8M
+```
+
+> Si `upload_max_filesize` est trop basse, PHP abandonne l'intégralité du corps POST — fichier
+> **et** tokens CSRF — ce qui provoque une erreur générique sans message explicite.
+
+## Production
+
+**Prérequis :** Docker, Docker Compose
+
+```bash
+git clone https://git.netig.net/netig/slim-blog
+cd slim-blog
+cp .env.example .env
+# Définir APP_ENV=production, APP_URL, ADMIN_PASSWORD et la configuration SMTP
+docker compose up -d --build
+```
+
+> Le démarrage en production avec `ADMIN_PASSWORD=changeme123` est bloqué intentionnellement.
+
+> `--build` est superflu sur une machine vierge mais garantit une image à jour dans tous les cas.
+
+**Note sur le `.env` :** `docker-compose.yml` monte le fichier `.env` physiquement dans le conteneur
+(`- ./.env:/var/www/app/.env:ro`). Ce mount est nécessaire car `phpdotenv` lit un fichier sur le
+disque via `file_get_contents` — `env_file` seul ne suffit pas.
+
+Au premier démarrage, l'entrypoint initialise automatiquement `./data/` sur l'hôte :
+
+```
+data/
+├── public/       # assets compilés, index.php — servis par Nginx
+│   └── media/    # uploads utilisateurs — persistés entre redéploiements
+├── database/     # migrations + app.sqlite
+└── var/          # cache Twig/HTMLPurifier, logs
+```
+
+Pour mettre à jour le site après un changement de code :
+
+```bash
+docker compose build
+docker compose up -d
+```
+
+### Logs Docker
+
+Les erreurs PHP remontent dans `docker compose logs` grâce à `error_log = /dev/stderr` dans
+`docker/php/php.ini`. Sans ce réglage, les erreurs des workers FPM ne sont pas transmises au
+process principal et n'apparaissent pas dans les logs Docker.
+
+### Durcissement HTTP
+
+`docker/php/php.ini` désactive l'en-tête `X-Powered-By` (`expose_php = Off`) et renomme le cookie de session de `PHPSESSID` en `sid` pour ne pas exposer la stack technique.
+
+`docker/nginx/default.conf` ajoute quatre en-têtes de sécurité sur toutes les réponses :
+
+| En-tête | Valeur | Protection |
+|---------|--------|------------|
+| `X-Frame-Options` | `SAMEORIGIN` | Clickjacking |
+| `X-Content-Type-Options` | `nosniff` | Sniffing MIME |
+| `Referrer-Policy` | `strict-origin-when-cross-origin` | Fuite d'URL |
+| `Permissions-Policy` | `camera=(), microphone=(), geolocation=()` | APIs navigateur |
+
+### Derrière un reverse proxy (Caddy, Nginx…)
+
+Nginx écoute sur `127.0.0.1:8888` (câblé dans `docker-compose.yml`).
+
+Exemple de configuration Caddy :
+
+```caddy
+https://blog.exemple.com {
+    header Strict-Transport-Security max-age=31536000;
+    reverse_proxy localhost:8888
+}
+```
+
+## Variables d'environnement
+
+| Variable          | Description                                                              | Exemple                    |
+|-------------------|--------------------------------------------------------------------------|----------------------------|
+| `APP_ENV`         | `development` ou `production`                                               | `production`               |
+| `APP_URL`         | URL de base (liens emails, flux RSS) — inclure le port en développement  | `http://localhost:8080`    |
+| `APP_NAME`        | Nom du blog (flux RSS, emails)                                           | `Slim Blog`                |
+| `TIMEZONE`        | Fuseau horaire PHP                                                       | `Europe/Paris`             |
+| `ADMIN_USERNAME`  | Nom d'utilisateur du compte admin                                        | `admin`                    |
+| `ADMIN_EMAIL`     | Email du compte admin                                                    | `admin@example.com`        |
+| `ADMIN_PASSWORD`  | Mot de passe admin (obligatoire en production)                           | *(à changer)*              |
+| `MAIL_HOST`       | Serveur SMTP                                                             | `smtp.example.com`         |
+| `MAIL_PORT`       | Port SMTP (`587` TLS, `465` SSL)                                         | `587`                      |
+| `MAIL_USERNAME`   | Identifiant SMTP                                                         | `noreply@example.com`      |
+| `MAIL_PASSWORD`   | Mot de passe SMTP                                                        | *(à renseigner)*           |
+| `MAIL_ENCRYPTION` | `tls` ou `ssl`                                                           | `tls`                      |
+| `MAIL_FROM`       | Adresse expéditeur                                                       | `noreply@example.com`      |
+| `MAIL_FROM_NAME`  | Nom expéditeur                                                           | `Slim Blog`                |
+| `UPLOAD_MAX_SIZE` | Taille max upload en octets                                              | `5242880`                  |
+
+## Documentation
+
+- [Guide technique](docs/GUIDE.md) — bases PHP, architecture en domaines, faire évoluer le projet
+- [Architecture](docs/ARCHITECTURE.md) — référence concise : domaines, schéma BDD, routes, arborescence
+- [Installation — développement](#développement) — prérequis, lancement local, upload, SCSS
+- [Installation — production](#production) — Docker, reverse proxy, logs
+- [Variables d'environnement](#variables-denvironnement)
+- [Contribuer](CONTRIBUTING.md) — tests, conventions
+
+## Licence
+
+Le code source est distribué sous licence [MIT](LICENSE).
+Le contenu du blog (articles publiés) est soumis à [CC BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/deed.fr).
+
+
+## Provisioning
+
+Le provisionnement (migrations + seed admin) peut etre execute explicitement via `php bin/provision.php`.
+En developpement, il reste activable automatiquement via `APP_AUTO_PROVISION=true`.
+En production, il est recommande de le lancer separement du runtime HTTP.
diff --git a/assets/scss/abstracts/_mixins.scss b/assets/scss/abstracts/_mixins.scss
new file mode 100644
index 0000000..f3eafd1
--- /dev/null
+++ b/assets/scss/abstracts/_mixins.scss
@@ -0,0 +1,13 @@
+@use 'variables' as *;
+
+// =============================================================
+// Mixins
+// =============================================================
+
+// Breakpoint mobile — au-dessous de cette largeur, les composants
+// basculent en layout colonne (ex: .card)
+@mixin mobile {
+    @media (max-width: $breakpoint-mobile) {
+        @content;
+    }
+}
diff --git a/assets/scss/abstracts/_variables.scss b/assets/scss/abstracts/_variables.scss
new file mode 100644
index 0000000..6099cea
--- /dev/null
+++ b/assets/scss/abstracts/_variables.scss
@@ -0,0 +1,73 @@
+// =============================================================
+// Variables — design tokens du projet
+// =============================================================
+// Ce fichier est la source de vérité pour toutes les valeurs
+// de couleur, typographie et espacement utilisées dans le projet.
+// Modifier une valeur ici la propage à l'ensemble des composants.
+
+// -------------------------------------------------------------
+// Couleurs principales
+// -------------------------------------------------------------
+
+$color-primary: #007bff;
+$color-primary-bg: #cce5ff;
+$color-primary-bg-hover: #b8daff;
+$color-danger: #dc3545;
+$color-success-bg: #d4edda;
+$color-success-border: #c3e6cb;
+$color-success-text: #155724;
+$color-danger-bg: #f8d7da;
+$color-danger-border: #f5c6cb;
+$color-danger-text: #721c24;
+$color-warning-bg: #fff3cd;
+$color-warning-text: #856404;
+$color-info-bg: #d1ecf1;
+$color-info-text: #0c5460;
+$color-card-shadow: rgba(0, 0, 0, 0.07);
+
+// -------------------------------------------------------------
+// Couleurs neutres
+// -------------------------------------------------------------
+
+$color-text: #212529;
+$color-text-muted: #6c757d;
+$color-text-subtle: #aaa;
+$color-bg-light: #f8f9fa;
+$color-bg-white: #ffffff;
+$color-bg-initials: #e9ecef;
+$color-border: #dee2e6;
+$color-border-light: #ccc;
+
+// -------------------------------------------------------------
+// Typographie
+// -------------------------------------------------------------
+
+$font-family-base: Arial, sans-serif;
+$font-size-base: 1rem;
+$font-size-sm: 0.875rem;
+$font-size-footer: 0.9rem;
+$font-size-xs: 0.85em;
+$line-height-base: 1.5;
+
+// -------------------------------------------------------------
+// Espacements
+// -------------------------------------------------------------
+
+$spacing-xs: 0.25rem;
+$spacing-sm: 0.5rem;
+$spacing-md: 1rem;
+$spacing-lg: 1.5rem;
+$spacing-xl: 2rem;
+
+// -------------------------------------------------------------
+// Bordures
+// -------------------------------------------------------------
+
+$border-radius: 4px;
+$border-radius-sm: 3px;
+
+// -------------------------------------------------------------
+// Responsive
+// -------------------------------------------------------------
+
+$breakpoint-mobile: 600px;
diff --git a/assets/scss/base/_reset.scss b/assets/scss/base/_reset.scss
new file mode 100644
index 0000000..15b6d6d
--- /dev/null
+++ b/assets/scss/base/_reset.scss
@@ -0,0 +1,16 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Reset / base globale
+// =============================================================
+
+* {
+    box-sizing: border-box;
+}
+
+body {
+    font-family: $font-family-base;
+    font-size: $font-size-base;
+    color: $color-text;
+    margin: $spacing-xl;
+}
diff --git a/assets/scss/base/_typography.scss b/assets/scss/base/_typography.scss
new file mode 100644
index 0000000..5230a00
--- /dev/null
+++ b/assets/scss/base/_typography.scss
@@ -0,0 +1,105 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Typographie — styles globaux du texte
+// =============================================================
+// Échelle typographique de référence pour les éléments HTML sémantiques.
+// Les composants surchargent ces valeurs si leur contexte l'exige
+// (ex: .card__title, .error-page__code définissent leur propre taille).
+// Les styles de contenu éditeur (Trumbowyg) sont dans components/_post.scss.
+
+// -------------------------------------------------------------
+// Titres
+// -------------------------------------------------------------
+// h1 : titre d'article (detail.twig) et logo du site (site-header__logo)
+// h2 : titres de pages et de sections (toutes les vues admin et auth)
+// h3 : sous-titres de blocs (category-create__title)
+// h4-h6 : non utilisés dans les templates, définis en filet de sécurité
+//         pour le contenu HTML inséré via Trumbowyg
+
+h1 {
+    font-size: 1.75rem;
+    font-weight: bold;
+    line-height: 1.2;
+    margin: 0 0 $spacing-md;
+}
+
+h2 {
+    font-size: 1.4rem;
+    font-weight: bold;
+    line-height: 1.2;
+    margin: 0 0 $spacing-md;
+}
+
+h3 {
+    font-size: 1.15rem;
+    font-weight: bold;
+    line-height: 1.3;
+    margin: 0 0 $spacing-sm;
+}
+
+h4,
+h5,
+h6 {
+    font-size: $font-size-base;
+    font-weight: bold;
+    line-height: $line-height-base;
+    margin: 0 0 $spacing-sm;
+}
+
+// -------------------------------------------------------------
+// Liens
+// -------------------------------------------------------------
+// Liens nus sans classe BEM : navigation intra-page, liens de retour,
+// "Mot de passe oublié ?", liens du footer.
+// Les liens dans les composants (.card__title-link, .btn…) surchargent.
+
+a {
+    color: $color-primary;
+    text-decoration: underline;
+
+    &:hover {
+        text-decoration: none;
+    }
+}
+
+// -------------------------------------------------------------
+// Éléments inline
+// -------------------------------------------------------------
+// small : hints de formulaire ("Minimum 8 caractères"), métadonnées d'articles
+small {
+    font-size: $font-size-sm;
+    color: $color-text-muted;
+}
+
+// code : slugs dans l'admin (categories/index.twig), URLs dans les médias
+code {
+    font-family: monospace, monospace;
+    font-size: $font-size-sm;
+    background: $color-bg-light;
+    padding: 0.1em 0.3em;
+    border-radius: $border-radius-sm;
+    word-break: break-all;
+}
+
+// pre : blocs de code dans le contenu Trumbowyg
+pre {
+    font-family: monospace, monospace;
+    font-size: $font-size-sm;
+    background: $color-bg-light;
+    padding: $spacing-sm $spacing-md;
+    border-radius: $border-radius;
+    overflow-x: auto;
+    line-height: $line-height-base;
+}
+
+// -------------------------------------------------------------
+// Séparateurs
+// -------------------------------------------------------------
+// hr : séparateur dans detail.twig (après l'article) et form.twig (avant les métadonnées)
+
+hr {
+    border: none;
+    border-top: 1px solid $color-border;
+    margin: $spacing-lg 0;
+}
diff --git a/assets/scss/components/_alerts.scss b/assets/scss/components/_alerts.scss
new file mode 100644
index 0000000..7417b4f
--- /dev/null
+++ b/assets/scss/components/_alerts.scss
@@ -0,0 +1,24 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Alertes / messages flash
+// =============================================================
+
+.alert {
+    padding: $spacing-md;
+    border-radius: $border-radius;
+    margin-bottom: $spacing-md;
+    border: 1px solid transparent;
+
+    &--danger {
+        background: $color-danger-bg;
+        border-color: $color-danger-border;
+        color: $color-danger-text;
+    }
+
+    &--success {
+        background: $color-success-bg;
+        border-color: $color-success-border;
+        color: $color-success-text;
+    }
+}
diff --git a/assets/scss/components/_badges.scss b/assets/scss/components/_badges.scss
new file mode 100644
index 0000000..085da67
--- /dev/null
+++ b/assets/scss/components/_badges.scss
@@ -0,0 +1,38 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Badges — bloc composant .badge pour rôles utilisateur et catégories
+// =============================================================
+
+.badge {
+    padding: 0.2rem $spacing-sm;
+    border-radius: $border-radius-sm;
+    font-size: $font-size-xs;
+
+    &--admin {
+        color: $color-warning-text;
+        background: $color-warning-bg;
+    }
+
+    &--editor {
+        color: $color-info-text;
+        background: $color-info-bg;
+    }
+
+    &--user {
+        color: $color-text-muted;
+    }
+
+    // Badge catégorie — affiché sur les cartes d'articles et les pages de détail
+    // Cliquable : redirige vers la liste filtrée par catégorie
+    &--category {
+        color: $color-primary;
+        background: $color-primary-bg;
+        text-decoration: none;
+        vertical-align: middle;
+
+        &:hover {
+            background: $color-primary-bg-hover;
+        }
+    }
+}
diff --git a/assets/scss/components/_buttons.scss b/assets/scss/components/_buttons.scss
new file mode 100644
index 0000000..19dc6c3
--- /dev/null
+++ b/assets/scss/components/_buttons.scss
@@ -0,0 +1,57 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Boutons — bloc composant .btn
+// =============================================================
+
+.btn {
+    padding: $spacing-sm $spacing-md;
+    border-radius: $border-radius;
+    text-decoration: none;
+    display: inline-block;
+    cursor: pointer;
+    border: none;
+    text-align: center;
+}
+
+.btn--primary {
+    background: $color-primary;
+    color: white;
+}
+
+.btn--secondary {
+    background: $color-text-muted;
+    color: white;
+}
+
+.btn--danger {
+    background: $color-danger;
+    color: white;
+}
+
+.btn--sm {
+    padding: $spacing-xs $spacing-sm;
+    font-size: $font-size-sm;
+}
+
+// Modificateur taille — boutons principaux dans les formulaires centrés
+.btn--lg {
+    padding: 0.75rem $spacing-lg;
+}
+
+// Modificateur largeur — occupe toute la largeur de son conteneur
+.btn--full {
+    width: 100%;
+}
+
+// Variante autonome du bloc bouton : lien d'action textuel
+// Utilisé sans la classe .btn (pas un modificateur BEM)
+.btn-link {
+    background: none;
+    border: none;
+    color: $color-primary;
+    cursor: pointer;
+    text-decoration: underline;
+    padding: 0;
+    font-size: inherit;
+}
diff --git a/assets/scss/components/_card.scss b/assets/scss/components/_card.scss
new file mode 100644
index 0000000..9b1b791
--- /dev/null
+++ b/assets/scss/components/_card.scss
@@ -0,0 +1,182 @@
+@use "../abstracts/variables" as *;
+@use "../abstracts/mixins" as *;
+
+// =============================================================
+// Composant carte — générique
+// =============================================================
+// Définit deux blocs BEM :
+//   .card-list  — conteneur de liste de cartes
+//   .card       — carte individuelle (vignette + contenu)
+// Aucune référence au domaine métier : les contenus spécifiques
+// (extrait d'article, prix produit…) sont surchargés dans les
+// fichiers de page (pages/_home.scss, pages/_shop.scss…).
+
+// Conteneur de liste de cartes
+.card-list {
+    display: flex;
+    flex-direction: column;
+    gap: $spacing-md;
+}
+
+// Modificateur : fond grisé encadrant les cartes (ex: page d'accueil)
+// Rend les box-shadow perceptibles en créant un contraste avec le fond blanc des cartes
+.card-list--contained {
+    background: $color-bg-light;
+    padding: $spacing-md;
+    border-radius: $border-radius;
+}
+
+// Carte : vignette à gauche, corps à droite
+// La vignette est toujours présente (image ou initiales)
+.card {
+    display: flex;
+    flex-direction: row;
+    align-items: flex-start;
+    gap: $spacing-lg;
+    padding: $spacing-lg;
+    background: $color-bg-white;
+    border-radius: $border-radius;
+    box-shadow: 0 1px 4px $color-card-shadow;
+}
+
+// Lien englobant la vignette — pas de décoration, tabindex=-1 pour
+// éviter la double tabulation (le titre est déjà un lien cliquable)
+.card__thumb-link {
+    flex-shrink: 0;
+    display: block;
+    text-decoration: none;
+}
+
+// Vignette image
+.card__thumb {
+    width: 180px;
+    height: 120px;
+    object-fit: cover;
+    border-radius: $border-radius;
+    display: block;
+}
+
+// Vignette initiales (affiché quand l'entité n'a pas d'image)
+// Mêmes dimensions que .card__thumb pour un alignement cohérent
+.card__initials {
+    display: flex;
+    align-items: center;
+    justify-content: center;
+    width: 180px;
+    height: 120px;
+    border-radius: $border-radius;
+    background: $color-bg-initials;
+    color: $color-text-muted;
+    font-size: 2rem;
+    font-weight: bold;
+    letter-spacing: 0.05em;
+    user-select: none;
+}
+
+// Wrapper externe : prend la place à droite de la vignette
+// Organisé en flex colonne pour empiler .card__body et .card__actions
+.card__content {
+    flex: 1;
+    min-width: 0;
+    display: flex;
+    flex-direction: column;
+    justify-content: space-between;
+}
+
+// Partie textuelle de la carte
+// max-height contraint le titre + métadonnées + aperçu à la hauteur de la vignette.
+// overflow:hidden clip l'aperçu si le contenu dépasse — .card__actions est en dehors
+// de ce conteneur et reste donc toujours visible.
+.card__body {
+    max-height: 120px;
+    overflow: hidden;
+}
+
+// Titre de la carte
+.card__title {
+    margin: 0 0 0.4rem;
+    font-size: 1.2rem;
+}
+
+// Lien du titre — élément BEM dédié plutôt qu'un sélecteur descendant sur <a>
+.card__title-link {
+    text-decoration: none;
+    color: inherit;
+
+    &:hover {
+        text-decoration: underline;
+    }
+}
+
+// Métadonnées (date, auteur, prix…)
+.card__meta {
+    margin-bottom: $spacing-sm;
+    color: $color-text-muted;
+}
+
+// Texte court de présentation — clipé par overflow:hidden du parent .card__body.
+// word-break empêche le débordement de mots longs ou d'URLs sans espace.
+.card__excerpt {
+    margin: $spacing-sm 0;
+    color: $color-text;
+    line-height: $line-height-base;
+    word-break: break-word;
+    overflow-wrap: break-word;
+
+    // Styles pour le HTML formaté retourné par post_excerpt()
+    // Les listes à puces/numérotées sont compactées pour rester dans l'aperçu
+    ul,
+    ol {
+        margin: $spacing-xs 0 0 $spacing-sm;
+        padding-left: $spacing-sm;
+    }
+
+    li {
+        margin-bottom: 0;
+        line-height: $line-height-base;
+    }
+
+    strong,
+    b {
+        font-weight: 600;
+    }
+    em,
+    i {
+        font-style: italic;
+    }
+}
+
+// Zone d'actions (liens, boutons) — aspect défini dans le fichier de page
+.card__actions {
+    margin-top: $spacing-sm;
+}
+
+// Adaptation mobile : vignette au-dessus du corps, pleine largeur
+// max-height est annulé sur .card__body — en disposition colonne l'aperçu
+// peut s'étendre librement sous la vignette.
+@include mobile {
+    .card {
+        flex-direction: column;
+    }
+
+    .card__thumb-link {
+        width: 100%;
+    }
+
+    .card__thumb,
+    .card__initials {
+        width: 100%;
+        height: 160px;
+    }
+
+    // En mobile (disposition colonne), le corps s'étend librement
+    .card__body {
+        max-height: none;
+        overflow: visible;
+    }
+
+    // Titre légèrement réduit pour éviter qu'il soit trop imposant sur petit écran
+    .card__title {
+        font-size: 1.05rem;
+    }
+}
diff --git a/assets/scss/components/_forms.scss b/assets/scss/components/_forms.scss
new file mode 100644
index 0000000..2014cf5
--- /dev/null
+++ b/assets/scss/components/_forms.scss
@@ -0,0 +1,200 @@
+@use "../abstracts/variables" as *;
+@use "../abstracts/mixins" as *;
+@use "sass:color";
+
+// =============================================================
+// Formulaires
+// =============================================================
+// Convention retenue :
+//   - .form-container est un vrai bloc BEM réutilisable
+//   - .btn et .badge sont aussi des blocs composants
+//   - .u-inline-form et .u-inline-actions sont des utilitaires
+//     de mise en page ponctuelle, volontairement préfixés en u-
+
+.form-container {
+    max-width: 720px;
+    margin: 0 auto;
+
+    &__panel {
+        background: $color-bg-white;
+        border: 1px solid $color-border;
+        border-radius: $border-radius;
+        padding: $spacing-lg;
+        box-shadow: 0 1px 4px rgba(0, 0, 0, 0.04);
+    }
+
+    &__header {
+        margin-bottom: $spacing-lg;
+    }
+
+    &__title {
+        margin: 0;
+    }
+
+    &__intro {
+        margin: $spacing-sm 0 0;
+        color: $color-text-muted;
+    }
+
+    &__form {
+        display: flex;
+        flex-direction: column;
+        gap: $spacing-md;
+    }
+
+    &__field {
+        margin: 0;
+    }
+
+    &__label {
+        display: flex;
+        flex-direction: column;
+        gap: $spacing-xs;
+        font-weight: 600;
+    }
+
+    &__hint {
+        margin: $spacing-xs 0 0;
+        font-size: $font-size-sm;
+        color: $color-text-muted;
+    }
+
+    &__input,
+    &__select,
+    &__textarea {
+        width: 100%;
+        padding: $spacing-sm $spacing-md;
+        border: 1px solid $color-border;
+        border-radius: $border-radius;
+        background: $color-bg-white;
+        font: inherit;
+
+        &:focus {
+            outline: none;
+            border-color: $color-primary;
+            box-shadow: 0 0 0 2px rgba(0, 123, 255, 0.15);
+        }
+    }
+
+    &__textarea {
+        min-height: 14rem;
+        resize: vertical;
+    }
+
+    &__actions {
+        display: flex;
+        gap: $spacing-sm;
+        align-items: center;
+        margin-top: $spacing-sm;
+    }
+
+    &__action {
+        flex: 1;
+    }
+
+    &__footer {
+        margin-top: $spacing-lg;
+        color: $color-text-muted;
+    }
+
+    &__input--disabled {
+        background: $color-bg-light;
+        color: $color-text-muted;
+    }
+}
+
+.form-container--narrow {
+    max-width: 420px;
+    margin: $spacing-xl auto;
+}
+
+// Utilitaires de mise en page
+.u-inline-form {
+    display: inline;
+}
+
+.u-inline-actions {
+    display: flex;
+    flex-wrap: wrap;
+    align-items: center;
+    gap: $spacing-xs;
+}
+
+// =============================================================
+// Barre de recherche (.search-bar)
+// =============================================================
+
+.search-bar {
+    display: flex;
+    align-items: center;
+    gap: $spacing-sm;
+    margin-bottom: $spacing-lg;
+}
+
+.search-bar__input {
+    flex: 1;
+    padding: $spacing-sm $spacing-md;
+    border: 1px solid $color-border;
+    border-radius: $border-radius;
+    font-size: $font-size-base;
+    font-family: $font-family-base;
+
+    &:focus {
+        outline: none;
+        border-color: $color-primary;
+        box-shadow: 0 0 0 2px rgba(0, 123, 255, 0.15);
+    }
+}
+
+.search-bar__btn {
+    padding: $spacing-sm $spacing-md;
+    background: $color-primary;
+    color: #fff;
+    border: none;
+    border-radius: $border-radius;
+    font-size: $font-size-base;
+    cursor: pointer;
+    white-space: nowrap;
+
+    &:hover {
+        background: color.scale($color-primary, $lightness: -16%);
+    }
+}
+
+.search-bar__reset {
+    color: $color-text-muted;
+    text-decoration: none;
+    font-size: $font-size-sm;
+    padding: $spacing-xs;
+    line-height: 1;
+
+    &:hover {
+        color: $color-danger;
+    }
+}
+
+.search-bar__info {
+    margin: (-$spacing-sm) 0 $spacing-md;
+    font-size: $font-size-sm;
+    color: $color-text-muted;
+}
+
+@include mobile {
+    .search-bar {
+        flex-direction: column;
+        align-items: stretch;
+    }
+
+    .search-bar__btn {
+        width: 100%;
+    }
+
+    .form-container__panel {
+        padding: $spacing-md;
+    }
+
+    .form-container__actions {
+        flex-direction: column;
+        align-items: stretch;
+    }
+}
diff --git a/assets/scss/components/_post.scss b/assets/scss/components/_post.scss
new file mode 100644
index 0000000..dbd87bd
--- /dev/null
+++ b/assets/scss/components/_post.scss
@@ -0,0 +1,39 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Composant article — page de détail
+// =============================================================
+// Styles spécifiques à l'affichage d'un article en pleine page.
+// Les styles de la carte article en liste sont dans _card.scss.
+
+// Bloc article — page de détail
+.post {
+    padding: $spacing-md 0;
+
+    // Métadonnées (date, auteur) — même apparence que .card__meta
+    &__meta {
+        margin-bottom: $spacing-sm;
+        color: $color-text-muted;
+    }
+
+    // Mention de mise à jour
+    &__updated {
+        margin-bottom: $spacing-sm;
+    }
+}
+
+// Contenu HTML de l'article (généré par Trumbowyg, sanitisé par HTMLPurifier)
+// word-break empêche le débordement d'URLs ou de mots longs sans espace sur mobile
+.post__content {
+    word-break: break-word;
+    overflow-wrap: break-word;
+}
+
+// Images insérées dans le contenu via Trumbowyg — sélecteur descendant sur <img>
+// accepté ici car le contenu est généré par un éditeur WYSIWYG et non par des templates
+.post__content img {
+    max-width: 100%;
+    height: auto;
+    border-radius: $border-radius;
+    margin: $spacing-sm 0;
+}
diff --git a/assets/scss/components/_upload.scss b/assets/scss/components/_upload.scss
new file mode 100644
index 0000000..f459b92
--- /dev/null
+++ b/assets/scss/components/_upload.scss
@@ -0,0 +1,39 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Bloc upload — aperçu et actions sur les médias uploadés
+// =============================================================
+
+.upload {
+    display: flex;
+    flex-direction: column;
+    gap: $spacing-sm;
+}
+
+.upload__thumb-link {
+    display: inline-block;
+    text-decoration: none;
+}
+
+.upload__thumb {
+    display: block;
+    width: 96px;
+    height: 72px;
+    object-fit: cover;
+    border-radius: $border-radius-sm;
+    border: 1px solid $color-border;
+    background: $color-bg-light;
+}
+
+.upload__url {
+    display: block;
+    word-break: break-all;
+    white-space: normal;
+}
+
+.upload__actions {
+    display: flex;
+    flex-wrap: wrap;
+    gap: $spacing-xs;
+    align-items: center;
+}
diff --git a/assets/scss/layout/_footer.scss b/assets/scss/layout/_footer.scss
new file mode 100644
index 0000000..99f1853
--- /dev/null
+++ b/assets/scss/layout/_footer.scss
@@ -0,0 +1,13 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Footer
+// =============================================================
+
+.site-footer {
+    margin-top: $spacing-xl;
+    padding-top: $spacing-md;
+    border-top: 1px solid $color-border-light;
+    color: $color-text-muted;
+    font-size: $font-size-footer;
+}
diff --git a/assets/scss/layout/_header.scss b/assets/scss/layout/_header.scss
new file mode 100644
index 0000000..2d43723
--- /dev/null
+++ b/assets/scss/layout/_header.scss
@@ -0,0 +1,79 @@
+@use "../abstracts/variables" as *;
+@use "../abstracts/mixins" as *;
+
+// =============================================================
+// Header
+// =============================================================
+
+.site-header {
+    border-bottom: 1px solid $color-border-light;
+    padding: $spacing-md 0;
+    margin-bottom: $spacing-xl;
+}
+
+.site-header__inner {
+    display: flex;
+    justify-content: space-between;
+    align-items: center;
+}
+
+.site-header__logo {
+    margin: 0;
+}
+
+// Lien englobant le titre du blog — élément BEM dédié plutôt qu'un sélecteur descendant sur <a>
+.site-header__logo-link {
+    text-decoration: none;
+    color: inherit;
+}
+
+.site-header__nav {
+    display: flex;
+    align-items: center;
+}
+
+// Nom d'utilisateur connecté dans le header
+.site-header__user {
+    margin-right: $spacing-md;
+}
+
+// Élément d'action cliquable dans le header (lien ou bouton)
+.site-header__action {
+    text-decoration: underline;
+    background: none;
+    border: none;
+    padding: 0;
+    cursor: pointer;
+    color: $color-primary;
+    font-family: inherit;
+    font-size: inherit;
+    margin-right: $spacing-md;
+
+    &:hover {
+        text-decoration: none;
+    }
+}
+
+@include mobile {
+    .site-header__inner {
+        flex-direction: column;
+        align-items: flex-start;
+        gap: 0.75rem;
+    }
+
+    .site-header__nav {
+        width: 100%;
+        flex-direction: column;
+        align-items: flex-start;
+        gap: $spacing-sm;
+    }
+
+    .site-header__action {
+        margin-right: 0;
+    }
+
+    // Supprimer les marges droites — remplacées par le gap de la nav
+    .site-header__user {
+        margin-right: 0;
+    }
+}
diff --git a/assets/scss/main.scss b/assets/scss/main.scss
new file mode 100644
index 0000000..55853e1
--- /dev/null
+++ b/assets/scss/main.scss
@@ -0,0 +1,31 @@
+// =============================================================
+// Point d'entrée — importe tous les partiels dans l'ordre
+// =============================================================
+// Les variables sont importées directement par chaque partiel
+// qui en a besoin via @use '../abstracts/variables' as *.
+// Ce fichier orchestre uniquement l'ordre de compilation.
+
+// Abstracts — aucun CSS généré, disponibles via @use dans chaque partiel
+@use "abstracts/variables" as *;
+@use "abstracts/mixins" as *;
+
+// Base — reset et typographie globale
+@use "base/reset";
+@use "base/typography";
+
+// Composants — éléments réutilisables
+@use "components/buttons";
+@use "components/alerts";
+@use "components/badges";
+@use "components/card";
+@use "components/forms";
+@use "components/post";
+@use "components/upload";
+
+// Layout — zones structurelles
+@use "layout/header";
+@use "layout/footer";
+
+// Pages — styles spécifiques à chaque vue
+@use "pages/home";
+@use "pages/admin";
diff --git a/assets/scss/pages/_admin.scss b/assets/scss/pages/_admin.scss
new file mode 100644
index 0000000..9c4de36
--- /dev/null
+++ b/assets/scss/pages/_admin.scss
@@ -0,0 +1,234 @@
+@use "../abstracts/variables" as *;
+@use "../abstracts/mixins" as *;
+
+// =============================================================
+// Pages d'administration
+// =============================================================
+
+// Barre de navigation entre les sections admin
+.admin-nav {
+    margin-bottom: $spacing-lg;
+}
+
+// Cellule d'actions dans les tableaux admin (liste d'articles, médias, etc.)
+// display:flex permet d'utiliser gap en mobile et d'aligner les boutons en desktop.
+.admin-actions {
+    display: flex;
+    flex-wrap: wrap;
+    align-items: center;
+    gap: $spacing-xs;
+}
+
+// Tableau de gestion (articles, utilisateurs)
+.admin-table {
+    width: 100%;
+    border-collapse: collapse;
+
+    th,
+    td {
+        padding: $spacing-sm;
+        border-bottom: 1px solid $color-border;
+        text-align: left;
+    }
+
+    th {
+        background: $color-bg-light;
+        font-weight: bold;
+    }
+
+    // Indicateur "(vous)" dans la liste des utilisateurs
+    &__self {
+        color: $color-text-muted;
+        font-size: $font-size-xs;
+    }
+
+    // Ligne d'action indisponible (tiret)
+    &__muted {
+        color: $color-text-subtle;
+        font-size: $font-size-xs;
+    }
+
+    // Sélecteur de rôle dans la liste des utilisateurs
+    &__role-select {
+        font-size: $font-size-sm;
+        padding: $spacing-xs $spacing-sm;
+        border: 1px solid $color-border;
+        border-radius: $border-radius;
+        background: $color-bg-white;
+        cursor: pointer;
+    }
+}
+
+// =============================================================
+// Bloc de création de catégorie (admin)
+// =============================================================
+
+// Conteneur du formulaire de création
+.category-create {
+    margin-bottom: $spacing-xl;
+    padding: $spacing-md;
+    background: $color-bg-light;
+    border: 1px solid $color-border;
+    border-radius: $border-radius;
+}
+
+// Titre du bloc de création
+.category-create__title {
+    margin: 0 0 $spacing-md;
+    font-size: $font-size-base;
+}
+
+// Disposition horizontale : champ + bouton sur la même ligne
+.category-create__form {
+    display: flex;
+    align-items: flex-end;
+    gap: $spacing-sm;
+    flex-wrap: wrap;
+}
+
+// Label englobant le champ texte
+.category-create__label {
+    display: flex;
+    flex-direction: column;
+    gap: $spacing-xs;
+    font-size: $font-size-sm;
+}
+
+// Champ de saisie du nom
+.category-create__input {
+    min-width: 260px;
+    width: 100%;
+}
+
+// Indication de génération automatique du slug
+.category-create__hint {
+    margin: $spacing-sm 0 0;
+    font-size: $font-size-xs;
+    color: $color-text-muted;
+}
+
+// =============================================================
+// Responsive — admin-table en mobile
+// =============================================================
+// En dessous du breakpoint mobile, le tableau est transformé en liste
+// de blocs empilés. Chaque cellule affiche son en-tête via data-label.
+// Les <thead> sont masqués car les labels remplacent les en-têtes.
+
+@include mobile {
+    .admin-table {
+        display: block;
+
+        thead {
+            display: none;
+        }
+
+        tbody,
+        tr {
+            display: block;
+        }
+
+        tr {
+            border: 1px solid $color-border;
+            border-radius: $border-radius;
+            margin-bottom: $spacing-md;
+            padding: $spacing-sm;
+            background: $color-bg-white;
+        }
+
+        td {
+            display: flex;
+            align-items: flex-start;
+            gap: $spacing-sm;
+            padding: $spacing-xs 0;
+            border-bottom: 1px solid $color-border;
+            font-size: $font-size-sm;
+
+            &:last-child {
+                border-bottom: none;
+                padding-bottom: 0;
+            }
+
+            // Label de colonne injecté via data-label
+            &::before {
+                content: attr(data-label);
+                font-weight: bold;
+                min-width: 100px;
+                flex-shrink: 0;
+                color: $color-text-muted;
+            }
+        }
+    }
+
+    // En mobile, les boutons d'actions s'empilent verticalement
+    .admin-actions {
+        flex-direction: column;
+        align-items: flex-start;
+    }
+}
+
+// =============================================================
+// Page d'erreur (404, 500…)
+// =============================================================
+
+.error-page {
+    text-align: center;
+    padding: $spacing-xl 0;
+}
+
+.error-page__code {
+    font-size: 4rem;
+    margin-bottom: $spacing-sm;
+    color: $color-text-muted;
+}
+
+.error-page__message {
+    font-size: 1.2rem;
+    margin-bottom: $spacing-lg;
+}
+
+// =============================================================
+// Éditeur Trumbowyg
+// =============================================================
+
+// Hauteur minimale de la zone de saisie
+.trumbowyg-box,
+.trumbowyg-editor {
+    min-height: 300px;
+}
+
+// Largeur identique aux autres champs du formulaire
+.trumbowyg-box {
+    width: 100%;
+    box-sizing: border-box;
+}
+
+// =============================================================
+// Bloc upload — galerie médias
+// =============================================================
+
+// Lien englobant la miniature d'aperçu
+.upload__thumb-link {
+    display: inline-block;
+    line-height: 0;
+}
+
+// Miniature d'aperçu
+.upload__thumb {
+    width: 64px;
+    height: 64px;
+    object-fit: cover;
+    border-radius: $border-radius;
+    border: 1px solid $color-border;
+    display: block;
+}
+
+// URL affichée en police monospace
+.upload__url {
+    display: block;
+    font-size: $font-size-sm;
+    color: $color-text-muted;
+    margin-bottom: $spacing-xs;
+    word-break: break-all;
+    background: transparent;
+    padding: 0;
+}
diff --git a/assets/scss/pages/_home.scss b/assets/scss/pages/_home.scss
new file mode 100644
index 0000000..f9edfae
--- /dev/null
+++ b/assets/scss/pages/_home.scss
@@ -0,0 +1,58 @@
+@use "../abstracts/variables" as *;
+
+// =============================================================
+// Page d'accueil — liste des articles
+// =============================================================
+// Les styles de structure des cartes sont dans components/_card.scss.
+// Ce fichier surcharge uniquement les éléments spécifiques au contexte blog.
+
+// Lien d'action "Lire la suite →" — élément BEM dédié plutôt qu'un sélecteur
+// descendant sur <a>, pour respecter BEM et éviter les collisions de styles
+.card__actions-link {
+    font-size: $font-size-sm;
+    color: $color-primary;
+    text-decoration: none;
+
+    &:hover {
+        text-decoration: underline;
+    }
+}
+
+// =============================================================
+// Barre de filtre par catégorie
+// =============================================================
+
+// Conteneur de la liste de liens de filtre
+.category-filter {
+    display: flex;
+    flex-wrap: wrap;
+    gap: $spacing-sm;
+    margin-bottom: $spacing-lg;
+    padding-bottom: $spacing-md;
+    border-bottom: 1px solid $color-border;
+}
+
+// Lien de filtre individuel
+.category-filter__item {
+    padding: $spacing-xs $spacing-sm;
+    border-radius: $border-radius-sm;
+    font-size: $font-size-sm;
+    text-decoration: none;
+    color: $color-text-muted;
+    border: 1px solid $color-border;
+    transition:
+        color 0.15s,
+        border-color 0.15s;
+
+    &:hover {
+        color: $color-primary;
+        border-color: $color-primary;
+    }
+}
+
+// État actif — catégorie sélectionnée
+.category-filter__item--active {
+    color: $color-primary;
+    border-color: $color-primary;
+    font-weight: bold;
+}
diff --git a/bin/provision.php b/bin/provision.php
new file mode 100644
index 0000000..ef5d40e
--- /dev/null
+++ b/bin/provision.php
@@ -0,0 +1,19 @@
+#!/usr/bin/env php
+<?php
+
+declare(strict_types=1);
+
+require __DIR__ . '/../vendor/autoload.php';
+
+use App\Shared\Bootstrap;
+use App\Shared\Database\Provisioner;
+
+$_ENV['APP_AUTO_PROVISION'] = '0';
+
+session_status() === PHP_SESSION_ACTIVE || session_start();
+
+$bootstrap = Bootstrap::create();
+$container = $bootstrap->initializeInfrastructure();
+Provisioner::run($container->get(\PDO::class));
+
+fwrite(STDOUT, "Provisioning termine.\n");
diff --git a/composer.json b/composer.json
new file mode 100644
index 0000000..1cf8852
--- /dev/null
+++ b/composer.json
@@ -0,0 +1,30 @@
+{
+    "require": {
+        "php": ">=8.1",
+        "ezyang/htmlpurifier": "^4.19",
+        "monolog/monolog": "^3.0",
+        "php-di/php-di": "^6.4",
+        "phpmailer/phpmailer": "^6.9",
+        "slim/csrf": "^1.5",
+        "slim/psr7": "^1.0",
+        "slim/slim": "4.*",
+        "slim/twig-view": "^3.4",
+        "twig/twig": "^3.11",
+        "vlucas/phpdotenv": "^5.6"
+    },
+    "require-dev": {
+        "friendsofphp/php-cs-fixer": "^3.94",
+        "phpstan/phpstan": "^1.0",
+        "phpunit/phpunit": "^11.0"
+    },
+    "autoload": {
+        "psr-4": {
+            "App\\": "src/"
+        }
+    },
+    "autoload-dev": {
+        "psr-4": {
+            "Tests\\": "tests/"
+        }
+    }
+}
diff --git a/composer.lock b/composer.lock
new file mode 100644
index 0000000..3a9bde2
--- /dev/null
+++ b/composer.lock
@@ -0,0 +1,5908 @@
+{
+    "_readme": [
+        "This file locks the dependencies of your project to a known state",
+        "Read more about it at https://getcomposer.org/doc/01-basic-usage.md#installing-dependencies",
+        "This file is @generated automatically"
+    ],
+    "content-hash": "0c8a780c5a7a8de35292d135366ee2ab",
+    "packages": [
+        {
+            "name": "ezyang/htmlpurifier",
+            "version": "v4.19.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/ezyang/htmlpurifier.git",
+                "reference": "b287d2a16aceffbf6e0295559b39662612b77fcf"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/ezyang/htmlpurifier/zipball/b287d2a16aceffbf6e0295559b39662612b77fcf",
+                "reference": "b287d2a16aceffbf6e0295559b39662612b77fcf",
+                "shasum": ""
+            },
+            "require": {
+                "php": "~5.6.0 || ~7.0.0 || ~7.1.0 || ~7.2.0 || ~7.3.0 || ~7.4.0 || ~8.0.0 || ~8.1.0 || ~8.2.0 || ~8.3.0 || ~8.4.0 || ~8.5.0"
+            },
+            "require-dev": {
+                "cerdic/css-tidy": "^1.7 || ^2.0",
+                "simpletest/simpletest": "dev-master"
+            },
+            "suggest": {
+                "cerdic/css-tidy": "If you want to use the filter 'Filter.ExtractStyleBlocks'.",
+                "ext-bcmath": "Used for unit conversion and imagecrash protection",
+                "ext-iconv": "Converts text to and from non-UTF-8 encodings",
+                "ext-tidy": "Used for pretty-printing HTML"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "library/HTMLPurifier.composer.php"
+                ],
+                "psr-0": {
+                    "HTMLPurifier": "library/"
+                },
+                "exclude-from-classmap": [
+                    "/library/HTMLPurifier/Language/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "LGPL-2.1-or-later"
+            ],
+            "authors": [
+                {
+                    "name": "Edward Z. Yang",
+                    "email": "admin@htmlpurifier.org",
+                    "homepage": "http://ezyang.com"
+                }
+            ],
+            "description": "Standards compliant HTML filter written in PHP",
+            "homepage": "http://htmlpurifier.org/",
+            "keywords": [
+                "html"
+            ],
+            "support": {
+                "issues": "https://github.com/ezyang/htmlpurifier/issues",
+                "source": "https://github.com/ezyang/htmlpurifier/tree/v4.19.0"
+            },
+            "time": "2025-10-17T16:34:55+00:00"
+        },
+        {
+            "name": "fig/http-message-util",
+            "version": "1.1.5",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/http-message-util.git",
+                "reference": "9d94dc0154230ac39e5bf89398b324a86f63f765"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/http-message-util/zipball/9d94dc0154230ac39e5bf89398b324a86f63f765",
+                "reference": "9d94dc0154230ac39e5bf89398b324a86f63f765",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^5.3 || ^7.0 || ^8.0"
+            },
+            "suggest": {
+                "psr/http-message": "The package containing the PSR-7 interfaces"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "1.1.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Fig\\Http\\Message\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "Utility classes and constants for use with PSR-7 (psr/http-message)",
+            "keywords": [
+                "http",
+                "http-message",
+                "psr",
+                "psr-7",
+                "request",
+                "response"
+            ],
+            "support": {
+                "issues": "https://github.com/php-fig/http-message-util/issues",
+                "source": "https://github.com/php-fig/http-message-util/tree/1.1.5"
+            },
+            "time": "2020-11-24T22:02:12+00:00"
+        },
+        {
+            "name": "graham-campbell/result-type",
+            "version": "v1.1.4",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/GrahamCampbell/Result-Type.git",
+                "reference": "e01f4a821471308ba86aa202fed6698b6b695e3b"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/GrahamCampbell/Result-Type/zipball/e01f4a821471308ba86aa202fed6698b6b695e3b",
+                "reference": "e01f4a821471308ba86aa202fed6698b6b695e3b",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.2.5 || ^8.0",
+                "phpoption/phpoption": "^1.9.5"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^8.5.41 || ^9.6.22 || ^10.5.45 || ^11.5.7"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "GrahamCampbell\\ResultType\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Graham Campbell",
+                    "email": "hello@gjcampbell.co.uk",
+                    "homepage": "https://github.com/GrahamCampbell"
+                }
+            ],
+            "description": "An Implementation Of The Result Type",
+            "keywords": [
+                "Graham Campbell",
+                "GrahamCampbell",
+                "Result Type",
+                "Result-Type",
+                "result"
+            ],
+            "support": {
+                "issues": "https://github.com/GrahamCampbell/Result-Type/issues",
+                "source": "https://github.com/GrahamCampbell/Result-Type/tree/v1.1.4"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/GrahamCampbell",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/graham-campbell/result-type",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-12-27T19:43:20+00:00"
+        },
+        {
+            "name": "laravel/serializable-closure",
+            "version": "v1.3.7",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/laravel/serializable-closure.git",
+                "reference": "4f48ade902b94323ca3be7646db16209ec76be3d"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/laravel/serializable-closure/zipball/4f48ade902b94323ca3be7646db16209ec76be3d",
+                "reference": "4f48ade902b94323ca3be7646db16209ec76be3d",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.3|^8.0"
+            },
+            "require-dev": {
+                "illuminate/support": "^8.0|^9.0|^10.0|^11.0",
+                "nesbot/carbon": "^2.61|^3.0",
+                "pestphp/pest": "^1.21.3",
+                "phpstan/phpstan": "^1.8.2",
+                "symfony/var-dumper": "^5.4.11|^6.2.0|^7.0.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "1.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Laravel\\SerializableClosure\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Taylor Otwell",
+                    "email": "taylor@laravel.com"
+                },
+                {
+                    "name": "Nuno Maduro",
+                    "email": "nuno@laravel.com"
+                }
+            ],
+            "description": "Laravel Serializable Closure provides an easy and secure way to serialize closures in PHP.",
+            "keywords": [
+                "closure",
+                "laravel",
+                "serializable"
+            ],
+            "support": {
+                "issues": "https://github.com/laravel/serializable-closure/issues",
+                "source": "https://github.com/laravel/serializable-closure"
+            },
+            "time": "2024-11-14T18:34:49+00:00"
+        },
+        {
+            "name": "monolog/monolog",
+            "version": "3.10.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/Seldaek/monolog.git",
+                "reference": "b321dd6749f0bf7189444158a3ce785cc16d69b0"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/Seldaek/monolog/zipball/b321dd6749f0bf7189444158a3ce785cc16d69b0",
+                "reference": "b321dd6749f0bf7189444158a3ce785cc16d69b0",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.1",
+                "psr/log": "^2.0 || ^3.0"
+            },
+            "provide": {
+                "psr/log-implementation": "3.0.0"
+            },
+            "require-dev": {
+                "aws/aws-sdk-php": "^3.0",
+                "doctrine/couchdb": "~1.0@dev",
+                "elasticsearch/elasticsearch": "^7 || ^8",
+                "ext-json": "*",
+                "graylog2/gelf-php": "^1.4.2 || ^2.0",
+                "guzzlehttp/guzzle": "^7.4.5",
+                "guzzlehttp/psr7": "^2.2",
+                "mongodb/mongodb": "^1.8 || ^2.0",
+                "php-amqplib/php-amqplib": "~2.4 || ^3",
+                "php-console/php-console": "^3.1.8",
+                "phpstan/phpstan": "^2",
+                "phpstan/phpstan-deprecation-rules": "^2",
+                "phpstan/phpstan-strict-rules": "^2",
+                "phpunit/phpunit": "^10.5.17 || ^11.0.7",
+                "predis/predis": "^1.1 || ^2",
+                "rollbar/rollbar": "^4.0",
+                "ruflin/elastica": "^7 || ^8",
+                "symfony/mailer": "^5.4 || ^6",
+                "symfony/mime": "^5.4 || ^6"
+            },
+            "suggest": {
+                "aws/aws-sdk-php": "Allow sending log messages to AWS services like DynamoDB",
+                "doctrine/couchdb": "Allow sending log messages to a CouchDB server",
+                "elasticsearch/elasticsearch": "Allow sending log messages to an Elasticsearch server via official client",
+                "ext-amqp": "Allow sending log messages to an AMQP server (1.0+ required)",
+                "ext-curl": "Required to send log messages using the IFTTTHandler, the LogglyHandler, the SendGridHandler, the SlackWebhookHandler or the TelegramBotHandler",
+                "ext-mbstring": "Allow to work properly with unicode symbols",
+                "ext-mongodb": "Allow sending log messages to a MongoDB server (via driver)",
+                "ext-openssl": "Required to send log messages using SSL",
+                "ext-sockets": "Allow sending log messages to a Syslog server (via UDP driver)",
+                "graylog2/gelf-php": "Allow sending log messages to a GrayLog2 server",
+                "mongodb/mongodb": "Allow sending log messages to a MongoDB server (via library)",
+                "php-amqplib/php-amqplib": "Allow sending log messages to an AMQP server using php-amqplib",
+                "rollbar/rollbar": "Allow sending log messages to Rollbar",
+                "ruflin/elastica": "Allow sending log messages to an Elastic Search server"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "3.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Monolog\\": "src/Monolog"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Jordi Boggiano",
+                    "email": "j.boggiano@seld.be",
+                    "homepage": "https://seld.be"
+                }
+            ],
+            "description": "Sends your logs to files, sockets, inboxes, databases and various web services",
+            "homepage": "https://github.com/Seldaek/monolog",
+            "keywords": [
+                "log",
+                "logging",
+                "psr-3"
+            ],
+            "support": {
+                "issues": "https://github.com/Seldaek/monolog/issues",
+                "source": "https://github.com/Seldaek/monolog/tree/3.10.0"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/Seldaek",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/monolog/monolog",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-01-02T08:56:05+00:00"
+        },
+        {
+            "name": "nikic/fast-route",
+            "version": "v1.3.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/nikic/FastRoute.git",
+                "reference": "181d480e08d9476e61381e04a71b34dc0432e812"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/nikic/FastRoute/zipball/181d480e08d9476e61381e04a71b34dc0432e812",
+                "reference": "181d480e08d9476e61381e04a71b34dc0432e812",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=5.4.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^4.8.35|~5.7"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "src/functions.php"
+                ],
+                "psr-4": {
+                    "FastRoute\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Nikita Popov",
+                    "email": "nikic@php.net"
+                }
+            ],
+            "description": "Fast request router for PHP",
+            "keywords": [
+                "router",
+                "routing"
+            ],
+            "support": {
+                "issues": "https://github.com/nikic/FastRoute/issues",
+                "source": "https://github.com/nikic/FastRoute/tree/master"
+            },
+            "time": "2018-02-13T20:26:39+00:00"
+        },
+        {
+            "name": "php-di/invoker",
+            "version": "2.3.7",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/PHP-DI/Invoker.git",
+                "reference": "3c1ddfdef181431fbc4be83378f6d036d59e81e1"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/PHP-DI/Invoker/zipball/3c1ddfdef181431fbc4be83378f6d036d59e81e1",
+                "reference": "3c1ddfdef181431fbc4be83378f6d036d59e81e1",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.3",
+                "psr/container": "^1.0|^2.0"
+            },
+            "require-dev": {
+                "athletic/athletic": "~0.1.8",
+                "mnapoli/hard-mode": "~0.3.0",
+                "phpunit/phpunit": "^9.0 || ^10 || ^11 || ^12"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Invoker\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "description": "Generic and extensible callable invoker",
+            "homepage": "https://github.com/PHP-DI/Invoker",
+            "keywords": [
+                "callable",
+                "dependency",
+                "dependency-injection",
+                "injection",
+                "invoke",
+                "invoker"
+            ],
+            "support": {
+                "issues": "https://github.com/PHP-DI/Invoker/issues",
+                "source": "https://github.com/PHP-DI/Invoker/tree/2.3.7"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/mnapoli",
+                    "type": "github"
+                }
+            ],
+            "time": "2025-08-30T10:22:22+00:00"
+        },
+        {
+            "name": "php-di/php-di",
+            "version": "6.4.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/PHP-DI/PHP-DI.git",
+                "reference": "ae0f1b3b03d8b29dff81747063cbfd6276246cc4"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/PHP-DI/PHP-DI/zipball/ae0f1b3b03d8b29dff81747063cbfd6276246cc4",
+                "reference": "ae0f1b3b03d8b29dff81747063cbfd6276246cc4",
+                "shasum": ""
+            },
+            "require": {
+                "laravel/serializable-closure": "^1.0",
+                "php": ">=7.4.0",
+                "php-di/invoker": "^2.0",
+                "php-di/phpdoc-reader": "^2.0.1",
+                "psr/container": "^1.0"
+            },
+            "provide": {
+                "psr/container-implementation": "^1.0"
+            },
+            "require-dev": {
+                "doctrine/annotations": "~1.10",
+                "friendsofphp/php-cs-fixer": "^2.4",
+                "mnapoli/phpunit-easymock": "^1.2",
+                "ocramius/proxy-manager": "^2.11.2",
+                "phpstan/phpstan": "^0.12",
+                "phpunit/phpunit": "^9.5"
+            },
+            "suggest": {
+                "doctrine/annotations": "Install it if you want to use annotations (version ~1.2)",
+                "ocramius/proxy-manager": "Install it if you want to use lazy injection (version ~2.0)"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "src/functions.php"
+                ],
+                "psr-4": {
+                    "DI\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "description": "The dependency injection container for humans",
+            "homepage": "https://php-di.org/",
+            "keywords": [
+                "PSR-11",
+                "container",
+                "container-interop",
+                "dependency injection",
+                "di",
+                "ioc",
+                "psr11"
+            ],
+            "support": {
+                "issues": "https://github.com/PHP-DI/PHP-DI/issues",
+                "source": "https://github.com/PHP-DI/PHP-DI/tree/6.4.0"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/mnapoli",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/php-di/php-di",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2022-04-09T16:46:38+00:00"
+        },
+        {
+            "name": "php-di/phpdoc-reader",
+            "version": "2.2.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/PHP-DI/PhpDocReader.git",
+                "reference": "66daff34cbd2627740ffec9469ffbac9f8c8185c"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/PHP-DI/PhpDocReader/zipball/66daff34cbd2627740ffec9469ffbac9f8c8185c",
+                "reference": "66daff34cbd2627740ffec9469ffbac9f8c8185c",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2.0"
+            },
+            "require-dev": {
+                "mnapoli/hard-mode": "~0.3.0",
+                "phpunit/phpunit": "^8.5|^9.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "PhpDocReader\\": "src/PhpDocReader"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "description": "PhpDocReader parses @var and @param values in PHP docblocks (supports namespaced class names with the same resolution rules as PHP)",
+            "keywords": [
+                "phpdoc",
+                "reflection"
+            ],
+            "support": {
+                "issues": "https://github.com/PHP-DI/PhpDocReader/issues",
+                "source": "https://github.com/PHP-DI/PhpDocReader/tree/2.2.1"
+            },
+            "time": "2020-10-12T12:39:22+00:00"
+        },
+        {
+            "name": "phpmailer/phpmailer",
+            "version": "v6.12.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/PHPMailer/PHPMailer.git",
+                "reference": "d1ac35d784bf9f5e61b424901d5a014967f15b12"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/PHPMailer/PHPMailer/zipball/d1ac35d784bf9f5e61b424901d5a014967f15b12",
+                "reference": "d1ac35d784bf9f5e61b424901d5a014967f15b12",
+                "shasum": ""
+            },
+            "require": {
+                "ext-ctype": "*",
+                "ext-filter": "*",
+                "ext-hash": "*",
+                "php": ">=5.5.0"
+            },
+            "require-dev": {
+                "dealerdirect/phpcodesniffer-composer-installer": "^1.0",
+                "doctrine/annotations": "^1.2.6 || ^1.13.3",
+                "php-parallel-lint/php-console-highlighter": "^1.0.0",
+                "php-parallel-lint/php-parallel-lint": "^1.3.2",
+                "phpcompatibility/php-compatibility": "^9.3.5",
+                "roave/security-advisories": "dev-latest",
+                "squizlabs/php_codesniffer": "^3.7.2",
+                "yoast/phpunit-polyfills": "^1.0.4"
+            },
+            "suggest": {
+                "decomplexity/SendOauth2": "Adapter for using XOAUTH2 authentication",
+                "ext-mbstring": "Needed to send email in multibyte encoding charset or decode encoded addresses",
+                "ext-openssl": "Needed for secure SMTP sending and DKIM signing",
+                "greew/oauth2-azure-provider": "Needed for Microsoft Azure XOAUTH2 authentication",
+                "hayageek/oauth2-yahoo": "Needed for Yahoo XOAUTH2 authentication",
+                "league/oauth2-google": "Needed for Google XOAUTH2 authentication",
+                "psr/log": "For optional PSR-3 debug logging",
+                "symfony/polyfill-mbstring": "To support UTF-8 if the Mbstring PHP extension is not enabled (^1.2)",
+                "thenetworg/oauth2-azure": "Needed for Microsoft XOAUTH2 authentication"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "PHPMailer\\PHPMailer\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "LGPL-2.1-only"
+            ],
+            "authors": [
+                {
+                    "name": "Marcus Bointon",
+                    "email": "phpmailer@synchromedia.co.uk"
+                },
+                {
+                    "name": "Jim Jagielski",
+                    "email": "jimjag@gmail.com"
+                },
+                {
+                    "name": "Andy Prevost",
+                    "email": "codeworxtech@users.sourceforge.net"
+                },
+                {
+                    "name": "Brent R. Matzelle"
+                }
+            ],
+            "description": "PHPMailer is a full-featured email creation and transfer class for PHP",
+            "support": {
+                "issues": "https://github.com/PHPMailer/PHPMailer/issues",
+                "source": "https://github.com/PHPMailer/PHPMailer/tree/v6.12.0"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/Synchro",
+                    "type": "github"
+                }
+            ],
+            "time": "2025-10-15T16:49:08+00:00"
+        },
+        {
+            "name": "phpoption/phpoption",
+            "version": "1.9.5",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/schmittjoh/php-option.git",
+                "reference": "75365b91986c2405cf5e1e012c5595cd487a98be"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/schmittjoh/php-option/zipball/75365b91986c2405cf5e1e012c5595cd487a98be",
+                "reference": "75365b91986c2405cf5e1e012c5595cd487a98be",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.2.5 || ^8.0"
+            },
+            "require-dev": {
+                "bamarni/composer-bin-plugin": "^1.8.2",
+                "phpunit/phpunit": "^8.5.44 || ^9.6.25 || ^10.5.53 || ^11.5.34"
+            },
+            "type": "library",
+            "extra": {
+                "bamarni-bin": {
+                    "bin-links": true,
+                    "forward-command": false
+                },
+                "branch-alias": {
+                    "dev-master": "1.9-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "PhpOption\\": "src/PhpOption/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "Apache-2.0"
+            ],
+            "authors": [
+                {
+                    "name": "Johannes M. Schmitt",
+                    "email": "schmittjoh@gmail.com",
+                    "homepage": "https://github.com/schmittjoh"
+                },
+                {
+                    "name": "Graham Campbell",
+                    "email": "hello@gjcampbell.co.uk",
+                    "homepage": "https://github.com/GrahamCampbell"
+                }
+            ],
+            "description": "Option Type for PHP",
+            "keywords": [
+                "language",
+                "option",
+                "php",
+                "type"
+            ],
+            "support": {
+                "issues": "https://github.com/schmittjoh/php-option/issues",
+                "source": "https://github.com/schmittjoh/php-option/tree/1.9.5"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/GrahamCampbell",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/phpoption/phpoption",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-12-27T19:41:33+00:00"
+        },
+        {
+            "name": "psr/container",
+            "version": "1.1.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/container.git",
+                "reference": "513e0666f7216c7459170d56df27dfcefe1689ea"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/container/zipball/513e0666f7216c7459170d56df27dfcefe1689ea",
+                "reference": "513e0666f7216c7459170d56df27dfcefe1689ea",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.4.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Psr\\Container\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "Common Container Interface (PHP FIG PSR-11)",
+            "homepage": "https://github.com/php-fig/container",
+            "keywords": [
+                "PSR-11",
+                "container",
+                "container-interface",
+                "container-interop",
+                "psr"
+            ],
+            "support": {
+                "issues": "https://github.com/php-fig/container/issues",
+                "source": "https://github.com/php-fig/container/tree/1.1.2"
+            },
+            "time": "2021-11-05T16:50:12+00:00"
+        },
+        {
+            "name": "psr/http-factory",
+            "version": "1.1.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/http-factory.git",
+                "reference": "2b4765fddfe3b508ac62f829e852b1501d3f6e8a"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/http-factory/zipball/2b4765fddfe3b508ac62f829e852b1501d3f6e8a",
+                "reference": "2b4765fddfe3b508ac62f829e852b1501d3f6e8a",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.1",
+                "psr/http-message": "^1.0 || ^2.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "1.0.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Psr\\Http\\Message\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "PSR-17: Common interfaces for PSR-7 HTTP message factories",
+            "keywords": [
+                "factory",
+                "http",
+                "message",
+                "psr",
+                "psr-17",
+                "psr-7",
+                "request",
+                "response"
+            ],
+            "support": {
+                "source": "https://github.com/php-fig/http-factory"
+            },
+            "time": "2024-04-15T12:06:14+00:00"
+        },
+        {
+            "name": "psr/http-message",
+            "version": "2.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/http-message.git",
+                "reference": "402d35bcb92c70c026d1a6a9883f06b2ead23d71"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/http-message/zipball/402d35bcb92c70c026d1a6a9883f06b2ead23d71",
+                "reference": "402d35bcb92c70c026d1a6a9883f06b2ead23d71",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.2 || ^8.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "2.0.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Psr\\Http\\Message\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "Common interface for HTTP messages",
+            "homepage": "https://github.com/php-fig/http-message",
+            "keywords": [
+                "http",
+                "http-message",
+                "psr",
+                "psr-7",
+                "request",
+                "response"
+            ],
+            "support": {
+                "source": "https://github.com/php-fig/http-message/tree/2.0"
+            },
+            "time": "2023-04-04T09:54:51+00:00"
+        },
+        {
+            "name": "psr/http-server-handler",
+            "version": "1.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/http-server-handler.git",
+                "reference": "84c4fb66179be4caaf8e97bd239203245302e7d4"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/http-server-handler/zipball/84c4fb66179be4caaf8e97bd239203245302e7d4",
+                "reference": "84c4fb66179be4caaf8e97bd239203245302e7d4",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.0",
+                "psr/http-message": "^1.0 || ^2.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "1.0.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Psr\\Http\\Server\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "Common interface for HTTP server-side request handler",
+            "keywords": [
+                "handler",
+                "http",
+                "http-interop",
+                "psr",
+                "psr-15",
+                "psr-7",
+                "request",
+                "response",
+                "server"
+            ],
+            "support": {
+                "source": "https://github.com/php-fig/http-server-handler/tree/1.0.2"
+            },
+            "time": "2023-04-10T20:06:20+00:00"
+        },
+        {
+            "name": "psr/http-server-middleware",
+            "version": "1.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/http-server-middleware.git",
+                "reference": "c1481f747daaa6a0782775cd6a8c26a1bf4a3829"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/http-server-middleware/zipball/c1481f747daaa6a0782775cd6a8c26a1bf4a3829",
+                "reference": "c1481f747daaa6a0782775cd6a8c26a1bf4a3829",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.0",
+                "psr/http-message": "^1.0 || ^2.0",
+                "psr/http-server-handler": "^1.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "1.0.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Psr\\Http\\Server\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "Common interface for HTTP server-side middleware",
+            "keywords": [
+                "http",
+                "http-interop",
+                "middleware",
+                "psr",
+                "psr-15",
+                "psr-7",
+                "request",
+                "response"
+            ],
+            "support": {
+                "issues": "https://github.com/php-fig/http-server-middleware/issues",
+                "source": "https://github.com/php-fig/http-server-middleware/tree/1.0.2"
+            },
+            "time": "2023-04-11T06:14:47+00:00"
+        },
+        {
+            "name": "psr/log",
+            "version": "3.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/log.git",
+                "reference": "f16e1d5863e37f8d8c2a01719f5b34baa2b714d3"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/log/zipball/f16e1d5863e37f8d8c2a01719f5b34baa2b714d3",
+                "reference": "f16e1d5863e37f8d8c2a01719f5b34baa2b714d3",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.0.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "3.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Psr\\Log\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "https://www.php-fig.org/"
+                }
+            ],
+            "description": "Common interface for logging libraries",
+            "homepage": "https://github.com/php-fig/log",
+            "keywords": [
+                "log",
+                "psr",
+                "psr-3"
+            ],
+            "support": {
+                "source": "https://github.com/php-fig/log/tree/3.0.2"
+            },
+            "time": "2024-09-11T13:17:53+00:00"
+        },
+        {
+            "name": "ralouphie/getallheaders",
+            "version": "3.0.3",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/ralouphie/getallheaders.git",
+                "reference": "120b605dfeb996808c31b6477290a714d356e822"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/ralouphie/getallheaders/zipball/120b605dfeb996808c31b6477290a714d356e822",
+                "reference": "120b605dfeb996808c31b6477290a714d356e822",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=5.6"
+            },
+            "require-dev": {
+                "php-coveralls/php-coveralls": "^2.1",
+                "phpunit/phpunit": "^5 || ^6.5"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "src/getallheaders.php"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Ralph Khattar",
+                    "email": "ralph.khattar@gmail.com"
+                }
+            ],
+            "description": "A polyfill for getallheaders.",
+            "support": {
+                "issues": "https://github.com/ralouphie/getallheaders/issues",
+                "source": "https://github.com/ralouphie/getallheaders/tree/develop"
+            },
+            "time": "2019-03-08T08:55:37+00:00"
+        },
+        {
+            "name": "slim/csrf",
+            "version": "1.5.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/slimphp/Slim-Csrf.git",
+                "reference": "a476a61e38451e138c400f6b4ca96037f3c2dd39"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/slimphp/Slim-Csrf/zipball/a476a61e38451e138c400f6b4ca96037f3c2dd39",
+                "reference": "a476a61e38451e138c400f6b4ca96037f3c2dd39",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.4 || ^8.0",
+                "psr/http-factory": "^1.1",
+                "psr/http-message": "^1.0 || ^2.0",
+                "psr/http-server-handler": "^1.0",
+                "psr/http-server-middleware": "^1.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.6",
+                "squizlabs/php_codesniffer": "^3.10"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Slim\\Csrf\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Josh Lockhart",
+                    "email": "hello@joshlockhart.com",
+                    "homepage": "http://joshlockhart.com"
+                }
+            ],
+            "description": "Slim Framework 4 CSRF protection PSR-15 middleware",
+            "homepage": "https://www.slimframework.com",
+            "keywords": [
+                "csrf",
+                "framework",
+                "middleware",
+                "slim"
+            ],
+            "support": {
+                "issues": "https://github.com/slimphp/Slim-Csrf/issues",
+                "source": "https://github.com/slimphp/Slim-Csrf/tree/1.5.1"
+            },
+            "time": "2025-11-02T14:58:28+00:00"
+        },
+        {
+            "name": "slim/psr7",
+            "version": "1.8.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/slimphp/Slim-Psr7.git",
+                "reference": "76e7e3b1cdfd583e9035c4c966c08e01e45ce959"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/slimphp/Slim-Psr7/zipball/76e7e3b1cdfd583e9035c4c966c08e01e45ce959",
+                "reference": "76e7e3b1cdfd583e9035c4c966c08e01e45ce959",
+                "shasum": ""
+            },
+            "require": {
+                "fig/http-message-util": "^1.1.5",
+                "php": "^8.0",
+                "psr/http-factory": "^1.1",
+                "psr/http-message": "^1.0 || ^2.0",
+                "ralouphie/getallheaders": "^3.0"
+            },
+            "provide": {
+                "psr/http-factory-implementation": "^1.0",
+                "psr/http-message-implementation": "^1.0 || ^2.0"
+            },
+            "require-dev": {
+                "adriansuter/php-autoload-override": "^1.5|| ^2.0",
+                "ext-json": "*",
+                "http-interop/http-factory-tests": "^1.0 || ^2.0",
+                "php-http/psr7-integration-tests": "^1.5",
+                "phpstan/phpstan": "^2.1",
+                "phpunit/phpunit": "^9.6 || ^10",
+                "squizlabs/php_codesniffer": "^3.13"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Slim\\Psr7\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Josh Lockhart",
+                    "email": "hello@joshlockhart.com",
+                    "homepage": "https://joshlockhart.com"
+                },
+                {
+                    "name": "Andrew Smith",
+                    "email": "a.smith@silentworks.co.uk",
+                    "homepage": "https://silentworks.co.uk"
+                },
+                {
+                    "name": "Rob Allen",
+                    "email": "rob@akrabat.com",
+                    "homepage": "https://akrabat.com"
+                },
+                {
+                    "name": "Pierre Berube",
+                    "email": "pierre@lgse.com",
+                    "homepage": "https://www.lgse.com"
+                }
+            ],
+            "description": "Strict PSR-7 implementation",
+            "homepage": "https://www.slimframework.com",
+            "keywords": [
+                "http",
+                "psr-7",
+                "psr7"
+            ],
+            "support": {
+                "issues": "https://github.com/slimphp/Slim-Psr7/issues",
+                "source": "https://github.com/slimphp/Slim-Psr7/tree/1.8.0"
+            },
+            "time": "2025-11-02T17:51:19+00:00"
+        },
+        {
+            "name": "slim/slim",
+            "version": "4.15.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/slimphp/Slim.git",
+                "reference": "887893516557506f254d950425ce7f5387a26970"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/slimphp/Slim/zipball/887893516557506f254d950425ce7f5387a26970",
+                "reference": "887893516557506f254d950425ce7f5387a26970",
+                "shasum": ""
+            },
+            "require": {
+                "ext-json": "*",
+                "nikic/fast-route": "^1.3",
+                "php": "~7.4.0 || ~8.0.0 || ~8.1.0 || ~8.2.0 || ~8.3.0 || ~8.4.0 || ~8.5.0",
+                "psr/container": "^1.0 || ^2.0",
+                "psr/http-factory": "^1.1",
+                "psr/http-message": "^1.1 || ^2.0",
+                "psr/http-server-handler": "^1.0",
+                "psr/http-server-middleware": "^1.0",
+                "psr/log": "^1.1 || ^2.0 || ^3.0"
+            },
+            "require-dev": {
+                "adriansuter/php-autoload-override": "^1.4 || ^2",
+                "ext-simplexml": "*",
+                "guzzlehttp/psr7": "^2.6",
+                "httpsoft/http-message": "^1.1",
+                "httpsoft/http-server-request": "^1.1",
+                "laminas/laminas-diactoros": "^2.17 || ^3",
+                "nyholm/psr7": "^1.8",
+                "nyholm/psr7-server": "^1.1",
+                "phpspec/prophecy": "^1.19",
+                "phpspec/prophecy-phpunit": "^2.1",
+                "phpstan/phpstan": "^1 || ^2",
+                "phpunit/phpunit": "^9.6 || ^10 || ^11 || ^12",
+                "slim/http": "^1.3",
+                "slim/psr7": "^1.6",
+                "squizlabs/php_codesniffer": "^3.10",
+                "vimeo/psalm": "^5 || ^6"
+            },
+            "suggest": {
+                "ext-simplexml": "Needed to support XML format in BodyParsingMiddleware",
+                "ext-xml": "Needed to support XML format in BodyParsingMiddleware",
+                "php-di/php-di": "PHP-DI is the recommended container library to be used with Slim",
+                "slim/psr7": "Slim PSR-7 implementation. See https://www.slimframework.com/docs/v4/start/installation.html for more information."
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Slim\\": "Slim"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Josh Lockhart",
+                    "email": "hello@joshlockhart.com",
+                    "homepage": "https://joshlockhart.com"
+                },
+                {
+                    "name": "Andrew Smith",
+                    "email": "a.smith@silentworks.co.uk",
+                    "homepage": "https://silentworks.co.uk"
+                },
+                {
+                    "name": "Rob Allen",
+                    "email": "rob@akrabat.com",
+                    "homepage": "https://akrabat.com"
+                },
+                {
+                    "name": "Pierre Berube",
+                    "email": "pierre@lgse.com",
+                    "homepage": "https://www.lgse.com"
+                },
+                {
+                    "name": "Gabriel Manricks",
+                    "email": "gmanricks@me.com",
+                    "homepage": "http://gabrielmanricks.com"
+                }
+            ],
+            "description": "Slim is a PHP micro framework that helps you quickly write simple yet powerful web applications and APIs",
+            "homepage": "https://www.slimframework.com",
+            "keywords": [
+                "api",
+                "framework",
+                "micro",
+                "router"
+            ],
+            "support": {
+                "docs": "https://www.slimframework.com/docs/v4/",
+                "forum": "https://discourse.slimframework.com/",
+                "irc": "irc://irc.freenode.net:6667/slimphp",
+                "issues": "https://github.com/slimphp/Slim/issues",
+                "rss": "https://www.slimframework.com/blog/feed.rss",
+                "slack": "https://slimphp.slack.com/",
+                "source": "https://github.com/slimphp/Slim",
+                "wiki": "https://github.com/slimphp/Slim/wiki"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/slimphp",
+                    "type": "open_collective"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/slim/slim",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-11-21T12:23:44+00:00"
+        },
+        {
+            "name": "slim/twig-view",
+            "version": "3.4.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/slimphp/Twig-View.git",
+                "reference": "b4268d87d0e327feba5f88d32031e9123655b909"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/slimphp/Twig-View/zipball/b4268d87d0e327feba5f88d32031e9123655b909",
+                "reference": "b4268d87d0e327feba5f88d32031e9123655b909",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.4 || ^8.0",
+                "psr/http-message": "^1.1 || ^2.0",
+                "slim/slim": "^4.12",
+                "symfony/polyfill-php81": "^1.29",
+                "twig/twig": "^3.11"
+            },
+            "require-dev": {
+                "phpspec/prophecy-phpunit": "^2.0",
+                "phpstan/phpstan": "^1.10.59",
+                "phpunit/phpunit": "^9.6 || ^10",
+                "psr/http-factory": "^1.0",
+                "squizlabs/php_codesniffer": "^3.9"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Slim\\Views\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Josh Lockhart",
+                    "email": "hello@joshlockhart.com",
+                    "homepage": "http://joshlockhart.com"
+                },
+                {
+                    "name": "Pierre Berube",
+                    "email": "pierre@lgse.com",
+                    "homepage": "http://www.lgse.com"
+                }
+            ],
+            "description": "Slim Framework 4 view helper built on top of the Twig 3 templating component",
+            "homepage": "https://www.slimframework.com",
+            "keywords": [
+                "framework",
+                "slim",
+                "template",
+                "twig",
+                "view"
+            ],
+            "support": {
+                "issues": "https://github.com/slimphp/Twig-View/issues",
+                "source": "https://github.com/slimphp/Twig-View/tree/3.4.1"
+            },
+            "time": "2024-09-26T05:42:02+00:00"
+        },
+        {
+            "name": "symfony/deprecation-contracts",
+            "version": "v3.6.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/deprecation-contracts.git",
+                "reference": "63afe740e99a13ba87ec199bb07bbdee937a5b62"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/deprecation-contracts/zipball/63afe740e99a13ba87ec199bb07bbdee937a5b62",
+                "reference": "63afe740e99a13ba87ec199bb07bbdee937a5b62",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.1"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/contracts",
+                    "name": "symfony/contracts"
+                },
+                "branch-alias": {
+                    "dev-main": "3.6-dev"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "function.php"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "A generic function and convention to trigger deprecation notices",
+            "homepage": "https://symfony.com",
+            "support": {
+                "source": "https://github.com/symfony/deprecation-contracts/tree/v3.6.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-09-25T14:21:43+00:00"
+        },
+        {
+            "name": "symfony/polyfill-ctype",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-ctype.git",
+                "reference": "a3cc8b044a6ea513310cbd48ef7333b384945638"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-ctype/zipball/a3cc8b044a6ea513310cbd48ef7333b384945638",
+                "reference": "a3cc8b044a6ea513310cbd48ef7333b384945638",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2"
+            },
+            "provide": {
+                "ext-ctype": "*"
+            },
+            "suggest": {
+                "ext-ctype": "For best performance"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Ctype\\": ""
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Gert de Pagter",
+                    "email": "BackEndTea@gmail.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill for ctype functions",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "ctype",
+                "polyfill",
+                "portable"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-ctype/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-09-09T11:45:10+00:00"
+        },
+        {
+            "name": "symfony/polyfill-mbstring",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-mbstring.git",
+                "reference": "6d857f4d76bd4b343eac26d6b539585d2bc56493"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-mbstring/zipball/6d857f4d76bd4b343eac26d6b539585d2bc56493",
+                "reference": "6d857f4d76bd4b343eac26d6b539585d2bc56493",
+                "shasum": ""
+            },
+            "require": {
+                "ext-iconv": "*",
+                "php": ">=7.2"
+            },
+            "provide": {
+                "ext-mbstring": "*"
+            },
+            "suggest": {
+                "ext-mbstring": "For best performance"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Mbstring\\": ""
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill for the Mbstring extension",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "mbstring",
+                "polyfill",
+                "portable",
+                "shim"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-mbstring/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-12-23T08:48:59+00:00"
+        },
+        {
+            "name": "symfony/polyfill-php80",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-php80.git",
+                "reference": "0cc9dd0f17f61d8131e7df6b84bd344899fe2608"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-php80/zipball/0cc9dd0f17f61d8131e7df6b84bd344899fe2608",
+                "reference": "0cc9dd0f17f61d8131e7df6b84bd344899fe2608",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Php80\\": ""
+                },
+                "classmap": [
+                    "Resources/stubs"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Ion Bazan",
+                    "email": "ion.bazan@gmail.com"
+                },
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill backporting some PHP 8.0+ features to lower PHP versions",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "polyfill",
+                "portable",
+                "shim"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-php80/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-01-02T08:10:11+00:00"
+        },
+        {
+            "name": "symfony/polyfill-php81",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-php81.git",
+                "reference": "4a4cfc2d253c21a5ad0e53071df248ed48c6ce5c"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-php81/zipball/4a4cfc2d253c21a5ad0e53071df248ed48c6ce5c",
+                "reference": "4a4cfc2d253c21a5ad0e53071df248ed48c6ce5c",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Php81\\": ""
+                },
+                "classmap": [
+                    "Resources/stubs"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill backporting some PHP 8.1+ features to lower PHP versions",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "polyfill",
+                "portable",
+                "shim"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-php81/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-09-09T11:45:10+00:00"
+        },
+        {
+            "name": "twig/twig",
+            "version": "v3.23.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/twigphp/Twig.git",
+                "reference": "a64dc5d2cc7d6cafb9347f6cd802d0d06d0351c9"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/twigphp/Twig/zipball/a64dc5d2cc7d6cafb9347f6cd802d0d06d0351c9",
+                "reference": "a64dc5d2cc7d6cafb9347f6cd802d0d06d0351c9",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.1.0",
+                "symfony/deprecation-contracts": "^2.5|^3",
+                "symfony/polyfill-ctype": "^1.8",
+                "symfony/polyfill-mbstring": "^1.3"
+            },
+            "require-dev": {
+                "phpstan/phpstan": "^2.0",
+                "psr/container": "^1.0|^2.0",
+                "symfony/phpunit-bridge": "^5.4.9|^6.4|^7.0"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "src/Resources/core.php",
+                    "src/Resources/debug.php",
+                    "src/Resources/escaper.php",
+                    "src/Resources/string_loader.php"
+                ],
+                "psr-4": {
+                    "Twig\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com",
+                    "homepage": "http://fabien.potencier.org",
+                    "role": "Lead Developer"
+                },
+                {
+                    "name": "Twig Team",
+                    "role": "Contributors"
+                },
+                {
+                    "name": "Armin Ronacher",
+                    "email": "armin.ronacher@active-4.com",
+                    "role": "Project Founder"
+                }
+            ],
+            "description": "Twig, the flexible, fast, and secure template language for PHP",
+            "homepage": "https://twig.symfony.com",
+            "keywords": [
+                "templating"
+            ],
+            "support": {
+                "issues": "https://github.com/twigphp/Twig/issues",
+                "source": "https://github.com/twigphp/Twig/tree/v3.23.0"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/twig/twig",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-01-23T21:00:41+00:00"
+        },
+        {
+            "name": "vlucas/phpdotenv",
+            "version": "v5.6.3",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/vlucas/phpdotenv.git",
+                "reference": "955e7815d677a3eaa7075231212f2110983adecc"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/vlucas/phpdotenv/zipball/955e7815d677a3eaa7075231212f2110983adecc",
+                "reference": "955e7815d677a3eaa7075231212f2110983adecc",
+                "shasum": ""
+            },
+            "require": {
+                "ext-pcre": "*",
+                "graham-campbell/result-type": "^1.1.4",
+                "php": "^7.2.5 || ^8.0",
+                "phpoption/phpoption": "^1.9.5",
+                "symfony/polyfill-ctype": "^1.26",
+                "symfony/polyfill-mbstring": "^1.26",
+                "symfony/polyfill-php80": "^1.26"
+            },
+            "require-dev": {
+                "bamarni/composer-bin-plugin": "^1.8.2",
+                "ext-filter": "*",
+                "phpunit/phpunit": "^8.5.34 || ^9.6.13 || ^10.4.2"
+            },
+            "suggest": {
+                "ext-filter": "Required to use the boolean validator."
+            },
+            "type": "library",
+            "extra": {
+                "bamarni-bin": {
+                    "bin-links": true,
+                    "forward-command": false
+                },
+                "branch-alias": {
+                    "dev-master": "5.6-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Dotenv\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Graham Campbell",
+                    "email": "hello@gjcampbell.co.uk",
+                    "homepage": "https://github.com/GrahamCampbell"
+                },
+                {
+                    "name": "Vance Lucas",
+                    "email": "vance@vancelucas.com",
+                    "homepage": "https://github.com/vlucas"
+                }
+            ],
+            "description": "Loads environment variables from `.env` to `getenv()`, `$_ENV` and `$_SERVER` automagically.",
+            "keywords": [
+                "dotenv",
+                "env",
+                "environment"
+            ],
+            "support": {
+                "issues": "https://github.com/vlucas/phpdotenv/issues",
+                "source": "https://github.com/vlucas/phpdotenv/tree/v5.6.3"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/GrahamCampbell",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/vlucas/phpdotenv",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-12-27T19:49:13+00:00"
+        }
+    ],
+    "packages-dev": [
+        {
+            "name": "clue/ndjson-react",
+            "version": "v1.3.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/clue/reactphp-ndjson.git",
+                "reference": "392dc165fce93b5bb5c637b67e59619223c931b0"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/clue/reactphp-ndjson/zipball/392dc165fce93b5bb5c637b67e59619223c931b0",
+                "reference": "392dc165fce93b5bb5c637b67e59619223c931b0",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=5.3",
+                "react/stream": "^1.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.5 || ^5.7 || ^4.8.35",
+                "react/event-loop": "^1.2"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Clue\\React\\NDJson\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering"
+                }
+            ],
+            "description": "Streaming newline-delimited JSON (NDJSON) parser and encoder for ReactPHP.",
+            "homepage": "https://github.com/clue/reactphp-ndjson",
+            "keywords": [
+                "NDJSON",
+                "json",
+                "jsonlines",
+                "newline",
+                "reactphp",
+                "streaming"
+            ],
+            "support": {
+                "issues": "https://github.com/clue/reactphp-ndjson/issues",
+                "source": "https://github.com/clue/reactphp-ndjson/tree/v1.3.0"
+            },
+            "funding": [
+                {
+                    "url": "https://clue.engineering/support",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/clue",
+                    "type": "github"
+                }
+            ],
+            "time": "2022-12-23T10:58:28+00:00"
+        },
+        {
+            "name": "composer/pcre",
+            "version": "3.3.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/composer/pcre.git",
+                "reference": "b2bed4734f0cc156ee1fe9c0da2550420d99a21e"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/composer/pcre/zipball/b2bed4734f0cc156ee1fe9c0da2550420d99a21e",
+                "reference": "b2bed4734f0cc156ee1fe9c0da2550420d99a21e",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.4 || ^8.0"
+            },
+            "conflict": {
+                "phpstan/phpstan": "<1.11.10"
+            },
+            "require-dev": {
+                "phpstan/phpstan": "^1.12 || ^2",
+                "phpstan/phpstan-strict-rules": "^1 || ^2",
+                "phpunit/phpunit": "^8 || ^9"
+            },
+            "type": "library",
+            "extra": {
+                "phpstan": {
+                    "includes": [
+                        "extension.neon"
+                    ]
+                },
+                "branch-alias": {
+                    "dev-main": "3.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Composer\\Pcre\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Jordi Boggiano",
+                    "email": "j.boggiano@seld.be",
+                    "homepage": "http://seld.be"
+                }
+            ],
+            "description": "PCRE wrapping library that offers type-safe preg_* replacements.",
+            "keywords": [
+                "PCRE",
+                "preg",
+                "regex",
+                "regular expression"
+            ],
+            "support": {
+                "issues": "https://github.com/composer/pcre/issues",
+                "source": "https://github.com/composer/pcre/tree/3.3.2"
+            },
+            "funding": [
+                {
+                    "url": "https://packagist.com",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/composer",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/composer/composer",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-11-12T16:29:46+00:00"
+        },
+        {
+            "name": "composer/semver",
+            "version": "3.4.4",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/composer/semver.git",
+                "reference": "198166618906cb2de69b95d7d47e5fa8aa1b2b95"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/composer/semver/zipball/198166618906cb2de69b95d7d47e5fa8aa1b2b95",
+                "reference": "198166618906cb2de69b95d7d47e5fa8aa1b2b95",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^5.3.2 || ^7.0 || ^8.0"
+            },
+            "require-dev": {
+                "phpstan/phpstan": "^1.11",
+                "symfony/phpunit-bridge": "^3 || ^7"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "3.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Composer\\Semver\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nils Adermann",
+                    "email": "naderman@naderman.de",
+                    "homepage": "http://www.naderman.de"
+                },
+                {
+                    "name": "Jordi Boggiano",
+                    "email": "j.boggiano@seld.be",
+                    "homepage": "http://seld.be"
+                },
+                {
+                    "name": "Rob Bast",
+                    "email": "rob.bast@gmail.com",
+                    "homepage": "http://robbast.nl"
+                }
+            ],
+            "description": "Semver library that offers utilities, version constraint parsing and validation.",
+            "keywords": [
+                "semantic",
+                "semver",
+                "validation",
+                "versioning"
+            ],
+            "support": {
+                "irc": "ircs://irc.libera.chat:6697/composer",
+                "issues": "https://github.com/composer/semver/issues",
+                "source": "https://github.com/composer/semver/tree/3.4.4"
+            },
+            "funding": [
+                {
+                    "url": "https://packagist.com",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/composer",
+                    "type": "github"
+                }
+            ],
+            "time": "2025-08-20T19:15:30+00:00"
+        },
+        {
+            "name": "composer/xdebug-handler",
+            "version": "3.0.5",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/composer/xdebug-handler.git",
+                "reference": "6c1925561632e83d60a44492e0b344cf48ab85ef"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/composer/xdebug-handler/zipball/6c1925561632e83d60a44492e0b344cf48ab85ef",
+                "reference": "6c1925561632e83d60a44492e0b344cf48ab85ef",
+                "shasum": ""
+            },
+            "require": {
+                "composer/pcre": "^1 || ^2 || ^3",
+                "php": "^7.2.5 || ^8.0",
+                "psr/log": "^1 || ^2 || ^3"
+            },
+            "require-dev": {
+                "phpstan/phpstan": "^1.0",
+                "phpstan/phpstan-strict-rules": "^1.1",
+                "phpunit/phpunit": "^8.5 || ^9.6 || ^10.5"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Composer\\XdebugHandler\\": "src"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "John Stevenson",
+                    "email": "john-stevenson@blueyonder.co.uk"
+                }
+            ],
+            "description": "Restarts a process without Xdebug.",
+            "keywords": [
+                "Xdebug",
+                "performance"
+            ],
+            "support": {
+                "irc": "ircs://irc.libera.chat:6697/composer",
+                "issues": "https://github.com/composer/xdebug-handler/issues",
+                "source": "https://github.com/composer/xdebug-handler/tree/3.0.5"
+            },
+            "funding": [
+                {
+                    "url": "https://packagist.com",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/composer",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/composer/composer",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-05-06T16:37:16+00:00"
+        },
+        {
+            "name": "evenement/evenement",
+            "version": "v3.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/igorw/evenement.git",
+                "reference": "0a16b0d71ab13284339abb99d9d2bd813640efbc"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/igorw/evenement/zipball/0a16b0d71ab13284339abb99d9d2bd813640efbc",
+                "reference": "0a16b0d71ab13284339abb99d9d2bd813640efbc",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9 || ^6"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Evenement\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Igor Wiedler",
+                    "email": "igor@wiedler.ch"
+                }
+            ],
+            "description": "Événement is a very simple event dispatching library for PHP",
+            "keywords": [
+                "event-dispatcher",
+                "event-emitter"
+            ],
+            "support": {
+                "issues": "https://github.com/igorw/evenement/issues",
+                "source": "https://github.com/igorw/evenement/tree/v3.0.2"
+            },
+            "time": "2023-08-08T05:53:35+00:00"
+        },
+        {
+            "name": "fidry/cpu-core-counter",
+            "version": "1.3.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/theofidry/cpu-core-counter.git",
+                "reference": "db9508f7b1474469d9d3c53b86f817e344732678"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/theofidry/cpu-core-counter/zipball/db9508f7b1474469d9d3c53b86f817e344732678",
+                "reference": "db9508f7b1474469d9d3c53b86f817e344732678",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.2 || ^8.0"
+            },
+            "require-dev": {
+                "fidry/makefile": "^0.2.0",
+                "fidry/php-cs-fixer-config": "^1.1.2",
+                "phpstan/extension-installer": "^1.2.0",
+                "phpstan/phpstan": "^2.0",
+                "phpstan/phpstan-deprecation-rules": "^2.0.0",
+                "phpstan/phpstan-phpunit": "^2.0",
+                "phpstan/phpstan-strict-rules": "^2.0",
+                "phpunit/phpunit": "^8.5.31 || ^9.5.26",
+                "webmozarts/strict-phpunit": "^7.5"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Fidry\\CpuCoreCounter\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Théo FIDRY",
+                    "email": "theo.fidry@gmail.com"
+                }
+            ],
+            "description": "Tiny utility to get the number of CPU cores.",
+            "keywords": [
+                "CPU",
+                "core"
+            ],
+            "support": {
+                "issues": "https://github.com/theofidry/cpu-core-counter/issues",
+                "source": "https://github.com/theofidry/cpu-core-counter/tree/1.3.0"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/theofidry",
+                    "type": "github"
+                }
+            ],
+            "time": "2025-08-14T07:29:31+00:00"
+        },
+        {
+            "name": "friendsofphp/php-cs-fixer",
+            "version": "v3.94.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/PHP-CS-Fixer/PHP-CS-Fixer.git",
+                "reference": "7787ceff91365ba7d623ec410b8f429cdebb4f63"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/PHP-CS-Fixer/PHP-CS-Fixer/zipball/7787ceff91365ba7d623ec410b8f429cdebb4f63",
+                "reference": "7787ceff91365ba7d623ec410b8f429cdebb4f63",
+                "shasum": ""
+            },
+            "require": {
+                "clue/ndjson-react": "^1.3",
+                "composer/semver": "^3.4",
+                "composer/xdebug-handler": "^3.0.5",
+                "ext-filter": "*",
+                "ext-hash": "*",
+                "ext-json": "*",
+                "ext-tokenizer": "*",
+                "fidry/cpu-core-counter": "^1.3",
+                "php": "^7.4 || ^8.0",
+                "react/child-process": "^0.6.6",
+                "react/event-loop": "^1.5",
+                "react/socket": "^1.16",
+                "react/stream": "^1.4",
+                "sebastian/diff": "^4.0.6 || ^5.1.1 || ^6.0.2 || ^7.0 || ^8.0",
+                "symfony/console": "^5.4.47 || ^6.4.24 || ^7.0 || ^8.0",
+                "symfony/event-dispatcher": "^5.4.45 || ^6.4.24 || ^7.0 || ^8.0",
+                "symfony/filesystem": "^5.4.45 || ^6.4.24 || ^7.0 || ^8.0",
+                "symfony/finder": "^5.4.45 || ^6.4.24 || ^7.0 || ^8.0",
+                "symfony/options-resolver": "^5.4.45 || ^6.4.24 || ^7.0 || ^8.0",
+                "symfony/polyfill-mbstring": "^1.33",
+                "symfony/polyfill-php80": "^1.33",
+                "symfony/polyfill-php81": "^1.33",
+                "symfony/polyfill-php84": "^1.33",
+                "symfony/process": "^5.4.47 || ^6.4.24 || ^7.2 || ^8.0",
+                "symfony/stopwatch": "^5.4.45 || ^6.4.24 || ^7.0 || ^8.0"
+            },
+            "require-dev": {
+                "facile-it/paraunit": "^1.3.1 || ^2.7.1",
+                "infection/infection": "^0.32.3",
+                "justinrainbow/json-schema": "^6.6.4",
+                "keradus/cli-executor": "^2.3",
+                "mikey179/vfsstream": "^1.6.12",
+                "php-coveralls/php-coveralls": "^2.9.1",
+                "php-cs-fixer/phpunit-constraint-isidenticalstring": "^1.7",
+                "php-cs-fixer/phpunit-constraint-xmlmatchesxsd": "^1.7",
+                "phpunit/phpunit": "^9.6.34 || ^10.5.63 || ^11.5.51",
+                "symfony/polyfill-php85": "^1.33",
+                "symfony/var-dumper": "^5.4.48 || ^6.4.32 || ^7.4.4 || ^8.0.4",
+                "symfony/yaml": "^5.4.45 || ^6.4.30 || ^7.4.1 || ^8.0.1"
+            },
+            "suggest": {
+                "ext-dom": "For handling output formats in XML",
+                "ext-mbstring": "For handling non-UTF8 characters."
+            },
+            "bin": [
+                "php-cs-fixer"
+            ],
+            "type": "application",
+            "autoload": {
+                "psr-4": {
+                    "PhpCsFixer\\": "src/"
+                },
+                "exclude-from-classmap": [
+                    "src/**/Internal/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Dariusz Rumiński",
+                    "email": "dariusz.ruminski@gmail.com"
+                }
+            ],
+            "description": "A tool to automatically fix PHP code style",
+            "keywords": [
+                "Static code analysis",
+                "fixer",
+                "standards",
+                "static analysis"
+            ],
+            "support": {
+                "issues": "https://github.com/PHP-CS-Fixer/PHP-CS-Fixer/issues",
+                "source": "https://github.com/PHP-CS-Fixer/PHP-CS-Fixer/tree/v3.94.2"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/keradus",
+                    "type": "github"
+                }
+            ],
+            "time": "2026-02-20T16:13:53+00:00"
+        },
+        {
+            "name": "myclabs/deep-copy",
+            "version": "1.13.4",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/myclabs/DeepCopy.git",
+                "reference": "07d290f0c47959fd5eed98c95ee5602db07e0b6a"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/myclabs/DeepCopy/zipball/07d290f0c47959fd5eed98c95ee5602db07e0b6a",
+                "reference": "07d290f0c47959fd5eed98c95ee5602db07e0b6a",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.1 || ^8.0"
+            },
+            "conflict": {
+                "doctrine/collections": "<1.6.8",
+                "doctrine/common": "<2.13.3 || >=3 <3.2.2"
+            },
+            "require-dev": {
+                "doctrine/collections": "^1.6.8",
+                "doctrine/common": "^2.13.3 || ^3.2.2",
+                "phpspec/prophecy": "^1.10",
+                "phpunit/phpunit": "^7.5.20 || ^8.5.23 || ^9.5.13"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "src/DeepCopy/deep_copy.php"
+                ],
+                "psr-4": {
+                    "DeepCopy\\": "src/DeepCopy/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "description": "Create deep copies (clones) of your objects",
+            "keywords": [
+                "clone",
+                "copy",
+                "duplicate",
+                "object",
+                "object graph"
+            ],
+            "support": {
+                "issues": "https://github.com/myclabs/DeepCopy/issues",
+                "source": "https://github.com/myclabs/DeepCopy/tree/1.13.4"
+            },
+            "funding": [
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/myclabs/deep-copy",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-08-01T08:46:24+00:00"
+        },
+        {
+            "name": "nikic/php-parser",
+            "version": "v5.7.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/nikic/PHP-Parser.git",
+                "reference": "dca41cd15c2ac9d055ad70dbfd011130757d1f82"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/nikic/PHP-Parser/zipball/dca41cd15c2ac9d055ad70dbfd011130757d1f82",
+                "reference": "dca41cd15c2ac9d055ad70dbfd011130757d1f82",
+                "shasum": ""
+            },
+            "require": {
+                "ext-ctype": "*",
+                "ext-json": "*",
+                "ext-tokenizer": "*",
+                "php": ">=7.4"
+            },
+            "require-dev": {
+                "ircmaxell/php-yacc": "^0.0.7",
+                "phpunit/phpunit": "^9.0"
+            },
+            "bin": [
+                "bin/php-parse"
+            ],
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "5.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "PhpParser\\": "lib/PhpParser"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Nikita Popov"
+                }
+            ],
+            "description": "A PHP parser written in PHP",
+            "keywords": [
+                "parser",
+                "php"
+            ],
+            "support": {
+                "issues": "https://github.com/nikic/PHP-Parser/issues",
+                "source": "https://github.com/nikic/PHP-Parser/tree/v5.7.0"
+            },
+            "time": "2025-12-06T11:56:16+00:00"
+        },
+        {
+            "name": "phar-io/manifest",
+            "version": "2.0.4",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/phar-io/manifest.git",
+                "reference": "54750ef60c58e43759730615a392c31c80e23176"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/phar-io/manifest/zipball/54750ef60c58e43759730615a392c31c80e23176",
+                "reference": "54750ef60c58e43759730615a392c31c80e23176",
+                "shasum": ""
+            },
+            "require": {
+                "ext-dom": "*",
+                "ext-libxml": "*",
+                "ext-phar": "*",
+                "ext-xmlwriter": "*",
+                "phar-io/version": "^3.0.1",
+                "php": "^7.2 || ^8.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "2.0.x-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Arne Blankerts",
+                    "email": "arne@blankerts.de",
+                    "role": "Developer"
+                },
+                {
+                    "name": "Sebastian Heuer",
+                    "email": "sebastian@phpeople.de",
+                    "role": "Developer"
+                },
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "Developer"
+                }
+            ],
+            "description": "Component for reading phar.io manifest information from a PHP Archive (PHAR)",
+            "support": {
+                "issues": "https://github.com/phar-io/manifest/issues",
+                "source": "https://github.com/phar-io/manifest/tree/2.0.4"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/theseer",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-03-03T12:33:53+00:00"
+        },
+        {
+            "name": "phar-io/version",
+            "version": "3.2.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/phar-io/version.git",
+                "reference": "4f7fd7836c6f332bb2933569e566a0d6c4cbed74"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/phar-io/version/zipball/4f7fd7836c6f332bb2933569e566a0d6c4cbed74",
+                "reference": "4f7fd7836c6f332bb2933569e566a0d6c4cbed74",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.2 || ^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Arne Blankerts",
+                    "email": "arne@blankerts.de",
+                    "role": "Developer"
+                },
+                {
+                    "name": "Sebastian Heuer",
+                    "email": "sebastian@phpeople.de",
+                    "role": "Developer"
+                },
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "Developer"
+                }
+            ],
+            "description": "Library for handling version information and constraints",
+            "support": {
+                "issues": "https://github.com/phar-io/version/issues",
+                "source": "https://github.com/phar-io/version/tree/3.2.1"
+            },
+            "time": "2022-02-21T01:04:05+00:00"
+        },
+        {
+            "name": "phpstan/phpstan",
+            "version": "1.12.33",
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/phpstan/phpstan/zipball/37982d6fc7cbb746dda7773530cda557cdf119e1",
+                "reference": "37982d6fc7cbb746dda7773530cda557cdf119e1",
+                "shasum": ""
+            },
+            "require": {
+                "php": "^7.2|^8.0"
+            },
+            "conflict": {
+                "phpstan/phpstan-shim": "*"
+            },
+            "bin": [
+                "phpstan",
+                "phpstan.phar"
+            ],
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "description": "PHPStan - PHP Static Analysis Tool",
+            "keywords": [
+                "dev",
+                "static analysis"
+            ],
+            "support": {
+                "docs": "https://phpstan.org/user-guide/getting-started",
+                "forum": "https://github.com/phpstan/phpstan/discussions",
+                "issues": "https://github.com/phpstan/phpstan/issues",
+                "security": "https://github.com/phpstan/phpstan/security/policy",
+                "source": "https://github.com/phpstan/phpstan-src"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/ondrejmirtes",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/phpstan",
+                    "type": "github"
+                }
+            ],
+            "time": "2026-02-28T20:30:03+00:00"
+        },
+        {
+            "name": "phpunit/php-code-coverage",
+            "version": "11.0.12",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/php-code-coverage.git",
+                "reference": "2c1ed04922802c15e1de5d7447b4856de949cf56"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/php-code-coverage/zipball/2c1ed04922802c15e1de5d7447b4856de949cf56",
+                "reference": "2c1ed04922802c15e1de5d7447b4856de949cf56",
+                "shasum": ""
+            },
+            "require": {
+                "ext-dom": "*",
+                "ext-libxml": "*",
+                "ext-xmlwriter": "*",
+                "nikic/php-parser": "^5.7.0",
+                "php": ">=8.2",
+                "phpunit/php-file-iterator": "^5.1.0",
+                "phpunit/php-text-template": "^4.0.1",
+                "sebastian/code-unit-reverse-lookup": "^4.0.1",
+                "sebastian/complexity": "^4.0.1",
+                "sebastian/environment": "^7.2.1",
+                "sebastian/lines-of-code": "^3.0.1",
+                "sebastian/version": "^5.0.2",
+                "theseer/tokenizer": "^1.3.1"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.5.46"
+            },
+            "suggest": {
+                "ext-pcov": "PHP extension that provides line coverage",
+                "ext-xdebug": "PHP extension that provides line coverage as well as branch and path coverage"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "11.0.x-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Library that provides collection, processing, and rendering functionality for PHP code coverage information.",
+            "homepage": "https://github.com/sebastianbergmann/php-code-coverage",
+            "keywords": [
+                "coverage",
+                "testing",
+                "xunit"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/php-code-coverage/issues",
+                "security": "https://github.com/sebastianbergmann/php-code-coverage/security/policy",
+                "source": "https://github.com/sebastianbergmann/php-code-coverage/tree/11.0.12"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/phpunit/php-code-coverage",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-12-24T07:01:01+00:00"
+        },
+        {
+            "name": "phpunit/php-file-iterator",
+            "version": "5.1.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/php-file-iterator.git",
+                "reference": "2f3a64888c814fc235386b7387dd5b5ed92ad903"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/php-file-iterator/zipball/2f3a64888c814fc235386b7387dd5b5ed92ad903",
+                "reference": "2f3a64888c814fc235386b7387dd5b5ed92ad903",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.3"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "5.1-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "FilterIterator implementation that filters files based on a list of suffixes.",
+            "homepage": "https://github.com/sebastianbergmann/php-file-iterator/",
+            "keywords": [
+                "filesystem",
+                "iterator"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/php-file-iterator/issues",
+                "security": "https://github.com/sebastianbergmann/php-file-iterator/security/policy",
+                "source": "https://github.com/sebastianbergmann/php-file-iterator/tree/5.1.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/phpunit/php-file-iterator",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-02-02T13:52:54+00:00"
+        },
+        {
+            "name": "phpunit/php-invoker",
+            "version": "5.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/php-invoker.git",
+                "reference": "c1ca3814734c07492b3d4c5f794f4b0995333da2"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/php-invoker/zipball/c1ca3814734c07492b3d4c5f794f4b0995333da2",
+                "reference": "c1ca3814734c07492b3d4c5f794f4b0995333da2",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "ext-pcntl": "*",
+                "phpunit/phpunit": "^11.0"
+            },
+            "suggest": {
+                "ext-pcntl": "*"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "5.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Invoke callables with a timeout",
+            "homepage": "https://github.com/sebastianbergmann/php-invoker/",
+            "keywords": [
+                "process"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/php-invoker/issues",
+                "security": "https://github.com/sebastianbergmann/php-invoker/security/policy",
+                "source": "https://github.com/sebastianbergmann/php-invoker/tree/5.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T05:07:44+00:00"
+        },
+        {
+            "name": "phpunit/php-text-template",
+            "version": "4.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/php-text-template.git",
+                "reference": "3e0404dc6b300e6bf56415467ebcb3fe4f33e964"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/php-text-template/zipball/3e0404dc6b300e6bf56415467ebcb3fe4f33e964",
+                "reference": "3e0404dc6b300e6bf56415467ebcb3fe4f33e964",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "4.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Simple template engine.",
+            "homepage": "https://github.com/sebastianbergmann/php-text-template/",
+            "keywords": [
+                "template"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/php-text-template/issues",
+                "security": "https://github.com/sebastianbergmann/php-text-template/security/policy",
+                "source": "https://github.com/sebastianbergmann/php-text-template/tree/4.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T05:08:43+00:00"
+        },
+        {
+            "name": "phpunit/php-timer",
+            "version": "7.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/php-timer.git",
+                "reference": "3b415def83fbcb41f991d9ebf16ae4ad8b7837b3"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/php-timer/zipball/3b415def83fbcb41f991d9ebf16ae4ad8b7837b3",
+                "reference": "3b415def83fbcb41f991d9ebf16ae4ad8b7837b3",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "7.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Utility class for timing",
+            "homepage": "https://github.com/sebastianbergmann/php-timer/",
+            "keywords": [
+                "timer"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/php-timer/issues",
+                "security": "https://github.com/sebastianbergmann/php-timer/security/policy",
+                "source": "https://github.com/sebastianbergmann/php-timer/tree/7.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T05:09:35+00:00"
+        },
+        {
+            "name": "phpunit/phpunit",
+            "version": "11.5.55",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/phpunit.git",
+                "reference": "adc7262fccc12de2b30f12a8aa0b33775d814f00"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/phpunit/zipball/adc7262fccc12de2b30f12a8aa0b33775d814f00",
+                "reference": "adc7262fccc12de2b30f12a8aa0b33775d814f00",
+                "shasum": ""
+            },
+            "require": {
+                "ext-dom": "*",
+                "ext-json": "*",
+                "ext-libxml": "*",
+                "ext-mbstring": "*",
+                "ext-xml": "*",
+                "ext-xmlwriter": "*",
+                "myclabs/deep-copy": "^1.13.4",
+                "phar-io/manifest": "^2.0.4",
+                "phar-io/version": "^3.2.1",
+                "php": ">=8.2",
+                "phpunit/php-code-coverage": "^11.0.12",
+                "phpunit/php-file-iterator": "^5.1.1",
+                "phpunit/php-invoker": "^5.0.1",
+                "phpunit/php-text-template": "^4.0.1",
+                "phpunit/php-timer": "^7.0.1",
+                "sebastian/cli-parser": "^3.0.2",
+                "sebastian/code-unit": "^3.0.3",
+                "sebastian/comparator": "^6.3.3",
+                "sebastian/diff": "^6.0.2",
+                "sebastian/environment": "^7.2.1",
+                "sebastian/exporter": "^6.3.2",
+                "sebastian/global-state": "^7.0.2",
+                "sebastian/object-enumerator": "^6.0.1",
+                "sebastian/recursion-context": "^6.0.3",
+                "sebastian/type": "^5.1.3",
+                "sebastian/version": "^5.0.2",
+                "staabm/side-effects-detector": "^1.0.5"
+            },
+            "suggest": {
+                "ext-soap": "To be able to generate mocks based on WSDL files"
+            },
+            "bin": [
+                "phpunit"
+            ],
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "11.5-dev"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "src/Framework/Assert/Functions.php"
+                ],
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "The PHP Unit Testing framework.",
+            "homepage": "https://phpunit.de/",
+            "keywords": [
+                "phpunit",
+                "testing",
+                "xunit"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/phpunit/issues",
+                "security": "https://github.com/sebastianbergmann/phpunit/security/policy",
+                "source": "https://github.com/sebastianbergmann/phpunit/tree/11.5.55"
+            },
+            "funding": [
+                {
+                    "url": "https://phpunit.de/sponsors.html",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/phpunit/phpunit",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-02-18T12:37:06+00:00"
+        },
+        {
+            "name": "psr/event-dispatcher",
+            "version": "1.0.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/php-fig/event-dispatcher.git",
+                "reference": "dbefd12671e8a14ec7f180cab83036ed26714bb0"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/php-fig/event-dispatcher/zipball/dbefd12671e8a14ec7f180cab83036ed26714bb0",
+                "reference": "dbefd12671e8a14ec7f180cab83036ed26714bb0",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-master": "1.0.x-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Psr\\EventDispatcher\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "PHP-FIG",
+                    "homepage": "http://www.php-fig.org/"
+                }
+            ],
+            "description": "Standard interfaces for event handling.",
+            "keywords": [
+                "events",
+                "psr",
+                "psr-14"
+            ],
+            "support": {
+                "issues": "https://github.com/php-fig/event-dispatcher/issues",
+                "source": "https://github.com/php-fig/event-dispatcher/tree/1.0.0"
+            },
+            "time": "2019-01-08T18:20:26+00:00"
+        },
+        {
+            "name": "react/cache",
+            "version": "v1.2.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/cache.git",
+                "reference": "d47c472b64aa5608225f47965a484b75c7817d5b"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/cache/zipball/d47c472b64aa5608225f47965a484b75c7817d5b",
+                "reference": "d47c472b64aa5608225f47965a484b75c7817d5b",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=5.3.0",
+                "react/promise": "^3.0 || ^2.0 || ^1.1"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.5 || ^5.7 || ^4.8.35"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "React\\Cache\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "Async, Promise-based cache interface for ReactPHP",
+            "keywords": [
+                "cache",
+                "caching",
+                "promise",
+                "reactphp"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/cache/issues",
+                "source": "https://github.com/reactphp/cache/tree/v1.2.0"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2022-11-30T15:59:55+00:00"
+        },
+        {
+            "name": "react/child-process",
+            "version": "v0.6.7",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/child-process.git",
+                "reference": "970f0e71945556422ee4570ccbabaedc3cf04ad3"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/child-process/zipball/970f0e71945556422ee4570ccbabaedc3cf04ad3",
+                "reference": "970f0e71945556422ee4570ccbabaedc3cf04ad3",
+                "shasum": ""
+            },
+            "require": {
+                "evenement/evenement": "^3.0 || ^2.0 || ^1.0",
+                "php": ">=5.3.0",
+                "react/event-loop": "^1.2",
+                "react/stream": "^1.4"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.6 || ^5.7 || ^4.8.36",
+                "react/socket": "^1.16",
+                "sebastian/environment": "^5.0 || ^3.0 || ^2.0 || ^1.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "React\\ChildProcess\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "Event-driven library for executing child processes with ReactPHP.",
+            "keywords": [
+                "event-driven",
+                "process",
+                "reactphp"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/child-process/issues",
+                "source": "https://github.com/reactphp/child-process/tree/v0.6.7"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2025-12-23T15:25:20+00:00"
+        },
+        {
+            "name": "react/dns",
+            "version": "v1.14.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/dns.git",
+                "reference": "7562c05391f42701c1fccf189c8225fece1cd7c3"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/dns/zipball/7562c05391f42701c1fccf189c8225fece1cd7c3",
+                "reference": "7562c05391f42701c1fccf189c8225fece1cd7c3",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=5.3.0",
+                "react/cache": "^1.0 || ^0.6 || ^0.5",
+                "react/event-loop": "^1.2",
+                "react/promise": "^3.2 || ^2.7 || ^1.2.1"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.6 || ^5.7 || ^4.8.36",
+                "react/async": "^4.3 || ^3 || ^2",
+                "react/promise-timer": "^1.11"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "React\\Dns\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "Async DNS resolver for ReactPHP",
+            "keywords": [
+                "async",
+                "dns",
+                "dns-resolver",
+                "reactphp"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/dns/issues",
+                "source": "https://github.com/reactphp/dns/tree/v1.14.0"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2025-11-18T19:34:28+00:00"
+        },
+        {
+            "name": "react/event-loop",
+            "version": "v1.6.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/event-loop.git",
+                "reference": "ba276bda6083df7e0050fd9b33f66ad7a4ac747a"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/event-loop/zipball/ba276bda6083df7e0050fd9b33f66ad7a4ac747a",
+                "reference": "ba276bda6083df7e0050fd9b33f66ad7a4ac747a",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=5.3.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.6 || ^5.7 || ^4.8.36"
+            },
+            "suggest": {
+                "ext-pcntl": "For signal handling support when using the StreamSelectLoop"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "React\\EventLoop\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "ReactPHP's core reactor event loop that libraries can use for evented I/O.",
+            "keywords": [
+                "asynchronous",
+                "event-loop"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/event-loop/issues",
+                "source": "https://github.com/reactphp/event-loop/tree/v1.6.0"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2025-11-17T20:46:25+00:00"
+        },
+        {
+            "name": "react/promise",
+            "version": "v3.3.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/promise.git",
+                "reference": "23444f53a813a3296c1368bb104793ce8d88f04a"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/promise/zipball/23444f53a813a3296c1368bb104793ce8d88f04a",
+                "reference": "23444f53a813a3296c1368bb104793ce8d88f04a",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.1.0"
+            },
+            "require-dev": {
+                "phpstan/phpstan": "1.12.28 || 1.4.10",
+                "phpunit/phpunit": "^9.6 || ^7.5"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "src/functions_include.php"
+                ],
+                "psr-4": {
+                    "React\\Promise\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "A lightweight implementation of CommonJS Promises/A for PHP",
+            "keywords": [
+                "promise",
+                "promises"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/promise/issues",
+                "source": "https://github.com/reactphp/promise/tree/v3.3.0"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2025-08-19T18:57:03+00:00"
+        },
+        {
+            "name": "react/socket",
+            "version": "v1.17.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/socket.git",
+                "reference": "ef5b17b81f6f60504c539313f94f2d826c5faa08"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/socket/zipball/ef5b17b81f6f60504c539313f94f2d826c5faa08",
+                "reference": "ef5b17b81f6f60504c539313f94f2d826c5faa08",
+                "shasum": ""
+            },
+            "require": {
+                "evenement/evenement": "^3.0 || ^2.0 || ^1.0",
+                "php": ">=5.3.0",
+                "react/dns": "^1.13",
+                "react/event-loop": "^1.2",
+                "react/promise": "^3.2 || ^2.6 || ^1.2.1",
+                "react/stream": "^1.4"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^9.6 || ^5.7 || ^4.8.36",
+                "react/async": "^4.3 || ^3.3 || ^2",
+                "react/promise-stream": "^1.4",
+                "react/promise-timer": "^1.11"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "React\\Socket\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "Async, streaming plaintext TCP/IP and secure TLS socket server and client connections for ReactPHP",
+            "keywords": [
+                "Connection",
+                "Socket",
+                "async",
+                "reactphp",
+                "stream"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/socket/issues",
+                "source": "https://github.com/reactphp/socket/tree/v1.17.0"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2025-11-19T20:47:34+00:00"
+        },
+        {
+            "name": "react/stream",
+            "version": "v1.4.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/reactphp/stream.git",
+                "reference": "1e5b0acb8fe55143b5b426817155190eb6f5b18d"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/reactphp/stream/zipball/1e5b0acb8fe55143b5b426817155190eb6f5b18d",
+                "reference": "1e5b0acb8fe55143b5b426817155190eb6f5b18d",
+                "shasum": ""
+            },
+            "require": {
+                "evenement/evenement": "^3.0 || ^2.0 || ^1.0",
+                "php": ">=5.3.8",
+                "react/event-loop": "^1.2"
+            },
+            "require-dev": {
+                "clue/stream-filter": "~1.2",
+                "phpunit/phpunit": "^9.6 || ^5.7 || ^4.8.36"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "React\\Stream\\": "src/"
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Christian Lück",
+                    "email": "christian@clue.engineering",
+                    "homepage": "https://clue.engineering/"
+                },
+                {
+                    "name": "Cees-Jan Kiewiet",
+                    "email": "reactphp@ceesjankiewiet.nl",
+                    "homepage": "https://wyrihaximus.net/"
+                },
+                {
+                    "name": "Jan Sorgalla",
+                    "email": "jsorgalla@gmail.com",
+                    "homepage": "https://sorgalla.com/"
+                },
+                {
+                    "name": "Chris Boden",
+                    "email": "cboden@gmail.com",
+                    "homepage": "https://cboden.dev/"
+                }
+            ],
+            "description": "Event-driven readable and writable streams for non-blocking I/O in ReactPHP",
+            "keywords": [
+                "event-driven",
+                "io",
+                "non-blocking",
+                "pipe",
+                "reactphp",
+                "readable",
+                "stream",
+                "writable"
+            ],
+            "support": {
+                "issues": "https://github.com/reactphp/stream/issues",
+                "source": "https://github.com/reactphp/stream/tree/v1.4.0"
+            },
+            "funding": [
+                {
+                    "url": "https://opencollective.com/reactphp",
+                    "type": "open_collective"
+                }
+            ],
+            "time": "2024-06-11T12:45:25+00:00"
+        },
+        {
+            "name": "sebastian/cli-parser",
+            "version": "3.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/cli-parser.git",
+                "reference": "15c5dd40dc4f38794d383bb95465193f5e0ae180"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/cli-parser/zipball/15c5dd40dc4f38794d383bb95465193f5e0ae180",
+                "reference": "15c5dd40dc4f38794d383bb95465193f5e0ae180",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "3.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Library for parsing CLI options",
+            "homepage": "https://github.com/sebastianbergmann/cli-parser",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/cli-parser/issues",
+                "security": "https://github.com/sebastianbergmann/cli-parser/security/policy",
+                "source": "https://github.com/sebastianbergmann/cli-parser/tree/3.0.2"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T04:41:36+00:00"
+        },
+        {
+            "name": "sebastian/code-unit",
+            "version": "3.0.3",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/code-unit.git",
+                "reference": "54391c61e4af8078e5b276ab082b6d3c54c9ad64"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/code-unit/zipball/54391c61e4af8078e5b276ab082b6d3c54c9ad64",
+                "reference": "54391c61e4af8078e5b276ab082b6d3c54c9ad64",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.5"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "3.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Collection of value objects that represent the PHP code units",
+            "homepage": "https://github.com/sebastianbergmann/code-unit",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/code-unit/issues",
+                "security": "https://github.com/sebastianbergmann/code-unit/security/policy",
+                "source": "https://github.com/sebastianbergmann/code-unit/tree/3.0.3"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2025-03-19T07:56:08+00:00"
+        },
+        {
+            "name": "sebastian/code-unit-reverse-lookup",
+            "version": "4.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/code-unit-reverse-lookup.git",
+                "reference": "183a9b2632194febd219bb9246eee421dad8d45e"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/code-unit-reverse-lookup/zipball/183a9b2632194febd219bb9246eee421dad8d45e",
+                "reference": "183a9b2632194febd219bb9246eee421dad8d45e",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "4.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                }
+            ],
+            "description": "Looks up which function or method a line of code belongs to",
+            "homepage": "https://github.com/sebastianbergmann/code-unit-reverse-lookup/",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/code-unit-reverse-lookup/issues",
+                "security": "https://github.com/sebastianbergmann/code-unit-reverse-lookup/security/policy",
+                "source": "https://github.com/sebastianbergmann/code-unit-reverse-lookup/tree/4.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T04:45:54+00:00"
+        },
+        {
+            "name": "sebastian/comparator",
+            "version": "6.3.3",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/comparator.git",
+                "reference": "2c95e1e86cb8dd41beb8d502057d1081ccc8eca9"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/comparator/zipball/2c95e1e86cb8dd41beb8d502057d1081ccc8eca9",
+                "reference": "2c95e1e86cb8dd41beb8d502057d1081ccc8eca9",
+                "shasum": ""
+            },
+            "require": {
+                "ext-dom": "*",
+                "ext-mbstring": "*",
+                "php": ">=8.2",
+                "sebastian/diff": "^6.0",
+                "sebastian/exporter": "^6.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.4"
+            },
+            "suggest": {
+                "ext-bcmath": "For comparing BcMath\\Number objects"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "6.3-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                },
+                {
+                    "name": "Jeff Welch",
+                    "email": "whatthejeff@gmail.com"
+                },
+                {
+                    "name": "Volker Dusch",
+                    "email": "github@wallbash.com"
+                },
+                {
+                    "name": "Bernhard Schussek",
+                    "email": "bschussek@2bepublished.at"
+                }
+            ],
+            "description": "Provides the functionality to compare PHP values for equality",
+            "homepage": "https://github.com/sebastianbergmann/comparator",
+            "keywords": [
+                "comparator",
+                "compare",
+                "equality"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/comparator/issues",
+                "security": "https://github.com/sebastianbergmann/comparator/security/policy",
+                "source": "https://github.com/sebastianbergmann/comparator/tree/6.3.3"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/sebastian/comparator",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-01-24T09:26:40+00:00"
+        },
+        {
+            "name": "sebastian/complexity",
+            "version": "4.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/complexity.git",
+                "reference": "ee41d384ab1906c68852636b6de493846e13e5a0"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/complexity/zipball/ee41d384ab1906c68852636b6de493846e13e5a0",
+                "reference": "ee41d384ab1906c68852636b6de493846e13e5a0",
+                "shasum": ""
+            },
+            "require": {
+                "nikic/php-parser": "^5.0",
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "4.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Library for calculating the complexity of PHP code units",
+            "homepage": "https://github.com/sebastianbergmann/complexity",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/complexity/issues",
+                "security": "https://github.com/sebastianbergmann/complexity/security/policy",
+                "source": "https://github.com/sebastianbergmann/complexity/tree/4.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T04:49:50+00:00"
+        },
+        {
+            "name": "sebastian/diff",
+            "version": "6.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/diff.git",
+                "reference": "b4ccd857127db5d41a5b676f24b51371d76d8544"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/diff/zipball/b4ccd857127db5d41a5b676f24b51371d76d8544",
+                "reference": "b4ccd857127db5d41a5b676f24b51371d76d8544",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0",
+                "symfony/process": "^4.2 || ^5"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "6.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                },
+                {
+                    "name": "Kore Nordmann",
+                    "email": "mail@kore-nordmann.de"
+                }
+            ],
+            "description": "Diff implementation",
+            "homepage": "https://github.com/sebastianbergmann/diff",
+            "keywords": [
+                "diff",
+                "udiff",
+                "unidiff",
+                "unified diff"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/diff/issues",
+                "security": "https://github.com/sebastianbergmann/diff/security/policy",
+                "source": "https://github.com/sebastianbergmann/diff/tree/6.0.2"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T04:53:05+00:00"
+        },
+        {
+            "name": "sebastian/environment",
+            "version": "7.2.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/environment.git",
+                "reference": "a5c75038693ad2e8d4b6c15ba2403532647830c4"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/environment/zipball/a5c75038693ad2e8d4b6c15ba2403532647830c4",
+                "reference": "a5c75038693ad2e8d4b6c15ba2403532647830c4",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.3"
+            },
+            "suggest": {
+                "ext-posix": "*"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "7.2-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                }
+            ],
+            "description": "Provides functionality to handle HHVM/PHP environments",
+            "homepage": "https://github.com/sebastianbergmann/environment",
+            "keywords": [
+                "Xdebug",
+                "environment",
+                "hhvm"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/environment/issues",
+                "security": "https://github.com/sebastianbergmann/environment/security/policy",
+                "source": "https://github.com/sebastianbergmann/environment/tree/7.2.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/sebastian/environment",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-05-21T11:55:47+00:00"
+        },
+        {
+            "name": "sebastian/exporter",
+            "version": "6.3.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/exporter.git",
+                "reference": "70a298763b40b213ec087c51c739efcaa90bcd74"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/exporter/zipball/70a298763b40b213ec087c51c739efcaa90bcd74",
+                "reference": "70a298763b40b213ec087c51c739efcaa90bcd74",
+                "shasum": ""
+            },
+            "require": {
+                "ext-mbstring": "*",
+                "php": ">=8.2",
+                "sebastian/recursion-context": "^6.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.3"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "6.3-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                },
+                {
+                    "name": "Jeff Welch",
+                    "email": "whatthejeff@gmail.com"
+                },
+                {
+                    "name": "Volker Dusch",
+                    "email": "github@wallbash.com"
+                },
+                {
+                    "name": "Adam Harvey",
+                    "email": "aharvey@php.net"
+                },
+                {
+                    "name": "Bernhard Schussek",
+                    "email": "bschussek@gmail.com"
+                }
+            ],
+            "description": "Provides the functionality to export PHP variables for visualization",
+            "homepage": "https://www.github.com/sebastianbergmann/exporter",
+            "keywords": [
+                "export",
+                "exporter"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/exporter/issues",
+                "security": "https://github.com/sebastianbergmann/exporter/security/policy",
+                "source": "https://github.com/sebastianbergmann/exporter/tree/6.3.2"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/sebastian/exporter",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-09-24T06:12:51+00:00"
+        },
+        {
+            "name": "sebastian/global-state",
+            "version": "7.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/global-state.git",
+                "reference": "3be331570a721f9a4b5917f4209773de17f747d7"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/global-state/zipball/3be331570a721f9a4b5917f4209773de17f747d7",
+                "reference": "3be331570a721f9a4b5917f4209773de17f747d7",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2",
+                "sebastian/object-reflector": "^4.0",
+                "sebastian/recursion-context": "^6.0"
+            },
+            "require-dev": {
+                "ext-dom": "*",
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "7.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                }
+            ],
+            "description": "Snapshotting of global state",
+            "homepage": "https://www.github.com/sebastianbergmann/global-state",
+            "keywords": [
+                "global state"
+            ],
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/global-state/issues",
+                "security": "https://github.com/sebastianbergmann/global-state/security/policy",
+                "source": "https://github.com/sebastianbergmann/global-state/tree/7.0.2"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T04:57:36+00:00"
+        },
+        {
+            "name": "sebastian/lines-of-code",
+            "version": "3.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/lines-of-code.git",
+                "reference": "d36ad0d782e5756913e42ad87cb2890f4ffe467a"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/lines-of-code/zipball/d36ad0d782e5756913e42ad87cb2890f4ffe467a",
+                "reference": "d36ad0d782e5756913e42ad87cb2890f4ffe467a",
+                "shasum": ""
+            },
+            "require": {
+                "nikic/php-parser": "^5.0",
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "3.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Library for counting the lines of code in PHP source code",
+            "homepage": "https://github.com/sebastianbergmann/lines-of-code",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/lines-of-code/issues",
+                "security": "https://github.com/sebastianbergmann/lines-of-code/security/policy",
+                "source": "https://github.com/sebastianbergmann/lines-of-code/tree/3.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T04:58:38+00:00"
+        },
+        {
+            "name": "sebastian/object-enumerator",
+            "version": "6.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/object-enumerator.git",
+                "reference": "f5b498e631a74204185071eb41f33f38d64608aa"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/object-enumerator/zipball/f5b498e631a74204185071eb41f33f38d64608aa",
+                "reference": "f5b498e631a74204185071eb41f33f38d64608aa",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2",
+                "sebastian/object-reflector": "^4.0",
+                "sebastian/recursion-context": "^6.0"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "6.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                }
+            ],
+            "description": "Traverses array structures and object graphs to enumerate all referenced objects",
+            "homepage": "https://github.com/sebastianbergmann/object-enumerator/",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/object-enumerator/issues",
+                "security": "https://github.com/sebastianbergmann/object-enumerator/security/policy",
+                "source": "https://github.com/sebastianbergmann/object-enumerator/tree/6.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T05:00:13+00:00"
+        },
+        {
+            "name": "sebastian/object-reflector",
+            "version": "4.0.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/object-reflector.git",
+                "reference": "6e1a43b411b2ad34146dee7524cb13a068bb35f9"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/object-reflector/zipball/6e1a43b411b2ad34146dee7524cb13a068bb35f9",
+                "reference": "6e1a43b411b2ad34146dee7524cb13a068bb35f9",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.0"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "4.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                }
+            ],
+            "description": "Allows reflection of object attributes, including inherited and non-public ones",
+            "homepage": "https://github.com/sebastianbergmann/object-reflector/",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/object-reflector/issues",
+                "security": "https://github.com/sebastianbergmann/object-reflector/security/policy",
+                "source": "https://github.com/sebastianbergmann/object-reflector/tree/4.0.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-07-03T05:01:32+00:00"
+        },
+        {
+            "name": "sebastian/recursion-context",
+            "version": "6.0.3",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/recursion-context.git",
+                "reference": "f6458abbf32a6c8174f8f26261475dc133b3d9dc"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/recursion-context/zipball/f6458abbf32a6c8174f8f26261475dc133b3d9dc",
+                "reference": "f6458abbf32a6c8174f8f26261475dc133b3d9dc",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.3"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "6.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de"
+                },
+                {
+                    "name": "Jeff Welch",
+                    "email": "whatthejeff@gmail.com"
+                },
+                {
+                    "name": "Adam Harvey",
+                    "email": "aharvey@php.net"
+                }
+            ],
+            "description": "Provides functionality to recursively process PHP variables",
+            "homepage": "https://github.com/sebastianbergmann/recursion-context",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/recursion-context/issues",
+                "security": "https://github.com/sebastianbergmann/recursion-context/security/policy",
+                "source": "https://github.com/sebastianbergmann/recursion-context/tree/6.0.3"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/sebastian/recursion-context",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-08-13T04:42:22+00:00"
+        },
+        {
+            "name": "sebastian/type",
+            "version": "5.1.3",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/type.git",
+                "reference": "f77d2d4e78738c98d9a68d2596fe5e8fa380f449"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/type/zipball/f77d2d4e78738c98d9a68d2596fe5e8fa380f449",
+                "reference": "f77d2d4e78738c98d9a68d2596fe5e8fa380f449",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "require-dev": {
+                "phpunit/phpunit": "^11.3"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "5.1-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Collection of value objects that represent the types of the PHP type system",
+            "homepage": "https://github.com/sebastianbergmann/type",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/type/issues",
+                "security": "https://github.com/sebastianbergmann/type/security/policy",
+                "source": "https://github.com/sebastianbergmann/type/tree/5.1.3"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                },
+                {
+                    "url": "https://liberapay.com/sebastianbergmann",
+                    "type": "liberapay"
+                },
+                {
+                    "url": "https://thanks.dev/u/gh/sebastianbergmann",
+                    "type": "thanks_dev"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/sebastian/type",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-08-09T06:55:48+00:00"
+        },
+        {
+            "name": "sebastian/version",
+            "version": "5.0.2",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/sebastianbergmann/version.git",
+                "reference": "c687e3387b99f5b03b6caa64c74b63e2936ff874"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/sebastianbergmann/version/zipball/c687e3387b99f5b03b6caa64c74b63e2936ff874",
+                "reference": "c687e3387b99f5b03b6caa64c74b63e2936ff874",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.2"
+            },
+            "type": "library",
+            "extra": {
+                "branch-alias": {
+                    "dev-main": "5.0-dev"
+                }
+            },
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Sebastian Bergmann",
+                    "email": "sebastian@phpunit.de",
+                    "role": "lead"
+                }
+            ],
+            "description": "Library that helps with managing the version number of Git-hosted PHP projects",
+            "homepage": "https://github.com/sebastianbergmann/version",
+            "support": {
+                "issues": "https://github.com/sebastianbergmann/version/issues",
+                "security": "https://github.com/sebastianbergmann/version/security/policy",
+                "source": "https://github.com/sebastianbergmann/version/tree/5.0.2"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/sebastianbergmann",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-10-09T05:16:32+00:00"
+        },
+        {
+            "name": "staabm/side-effects-detector",
+            "version": "1.0.5",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/staabm/side-effects-detector.git",
+                "reference": "d8334211a140ce329c13726d4a715adbddd0a163"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/staabm/side-effects-detector/zipball/d8334211a140ce329c13726d4a715adbddd0a163",
+                "reference": "d8334211a140ce329c13726d4a715adbddd0a163",
+                "shasum": ""
+            },
+            "require": {
+                "ext-tokenizer": "*",
+                "php": "^7.4 || ^8.0"
+            },
+            "require-dev": {
+                "phpstan/extension-installer": "^1.4.3",
+                "phpstan/phpstan": "^1.12.6",
+                "phpunit/phpunit": "^9.6.21",
+                "symfony/var-dumper": "^5.4.43",
+                "tomasvotruba/type-coverage": "1.0.0",
+                "tomasvotruba/unused-public": "1.0.0"
+            },
+            "type": "library",
+            "autoload": {
+                "classmap": [
+                    "lib/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "description": "A static analysis tool to detect side effects in PHP code",
+            "keywords": [
+                "static analysis"
+            ],
+            "support": {
+                "issues": "https://github.com/staabm/side-effects-detector/issues",
+                "source": "https://github.com/staabm/side-effects-detector/tree/1.0.5"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/staabm",
+                    "type": "github"
+                }
+            ],
+            "time": "2024-10-20T05:08:20+00:00"
+        },
+        {
+            "name": "symfony/console",
+            "version": "v8.0.7",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/console.git",
+                "reference": "15ed9008a4ebe2d6a78e4937f74e0c13ef2e618a"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/console/zipball/15ed9008a4ebe2d6a78e4937f74e0c13ef2e618a",
+                "reference": "15ed9008a4ebe2d6a78e4937f74e0c13ef2e618a",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4",
+                "symfony/polyfill-mbstring": "^1.0",
+                "symfony/service-contracts": "^2.5|^3",
+                "symfony/string": "^7.4|^8.0"
+            },
+            "provide": {
+                "psr/log-implementation": "1.0|2.0|3.0"
+            },
+            "require-dev": {
+                "psr/log": "^1|^2|^3",
+                "symfony/config": "^7.4|^8.0",
+                "symfony/dependency-injection": "^7.4|^8.0",
+                "symfony/event-dispatcher": "^7.4|^8.0",
+                "symfony/http-foundation": "^7.4|^8.0",
+                "symfony/http-kernel": "^7.4|^8.0",
+                "symfony/lock": "^7.4|^8.0",
+                "symfony/messenger": "^7.4|^8.0",
+                "symfony/process": "^7.4|^8.0",
+                "symfony/stopwatch": "^7.4|^8.0",
+                "symfony/var-dumper": "^7.4|^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\Console\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Eases the creation of beautiful and testable command line interfaces",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "cli",
+                "command-line",
+                "console",
+                "terminal"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/console/tree/v8.0.7"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-03-06T14:06:22+00:00"
+        },
+        {
+            "name": "symfony/event-dispatcher",
+            "version": "v8.0.4",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/event-dispatcher.git",
+                "reference": "99301401da182b6cfaa4700dbe9987bb75474b47"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/event-dispatcher/zipball/99301401da182b6cfaa4700dbe9987bb75474b47",
+                "reference": "99301401da182b6cfaa4700dbe9987bb75474b47",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4",
+                "symfony/event-dispatcher-contracts": "^2.5|^3"
+            },
+            "conflict": {
+                "symfony/security-http": "<7.4",
+                "symfony/service-contracts": "<2.5"
+            },
+            "provide": {
+                "psr/event-dispatcher-implementation": "1.0",
+                "symfony/event-dispatcher-implementation": "2.0|3.0"
+            },
+            "require-dev": {
+                "psr/log": "^1|^2|^3",
+                "symfony/config": "^7.4|^8.0",
+                "symfony/dependency-injection": "^7.4|^8.0",
+                "symfony/error-handler": "^7.4|^8.0",
+                "symfony/expression-language": "^7.4|^8.0",
+                "symfony/framework-bundle": "^7.4|^8.0",
+                "symfony/http-foundation": "^7.4|^8.0",
+                "symfony/service-contracts": "^2.5|^3",
+                "symfony/stopwatch": "^7.4|^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\EventDispatcher\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Provides tools that allow your application components to communicate with each other by dispatching events and listening to them",
+            "homepage": "https://symfony.com",
+            "support": {
+                "source": "https://github.com/symfony/event-dispatcher/tree/v8.0.4"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-01-05T11:45:55+00:00"
+        },
+        {
+            "name": "symfony/event-dispatcher-contracts",
+            "version": "v3.6.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/event-dispatcher-contracts.git",
+                "reference": "59eb412e93815df44f05f342958efa9f46b1e586"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/event-dispatcher-contracts/zipball/59eb412e93815df44f05f342958efa9f46b1e586",
+                "reference": "59eb412e93815df44f05f342958efa9f46b1e586",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.1",
+                "psr/event-dispatcher": "^1"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/contracts",
+                    "name": "symfony/contracts"
+                },
+                "branch-alias": {
+                    "dev-main": "3.6-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Contracts\\EventDispatcher\\": ""
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Generic abstractions related to dispatching event",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "abstractions",
+                "contracts",
+                "decoupling",
+                "interfaces",
+                "interoperability",
+                "standards"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/event-dispatcher-contracts/tree/v3.6.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-09-25T14:21:43+00:00"
+        },
+        {
+            "name": "symfony/filesystem",
+            "version": "v8.0.6",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/filesystem.git",
+                "reference": "7bf9162d7a0dff98d079b72948508fa48018a770"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/filesystem/zipball/7bf9162d7a0dff98d079b72948508fa48018a770",
+                "reference": "7bf9162d7a0dff98d079b72948508fa48018a770",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4",
+                "symfony/polyfill-ctype": "~1.8",
+                "symfony/polyfill-mbstring": "~1.8"
+            },
+            "require-dev": {
+                "symfony/process": "^7.4|^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\Filesystem\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Provides basic utilities for the filesystem",
+            "homepage": "https://symfony.com",
+            "support": {
+                "source": "https://github.com/symfony/filesystem/tree/v8.0.6"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-02-25T16:59:43+00:00"
+        },
+        {
+            "name": "symfony/finder",
+            "version": "v8.0.6",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/finder.git",
+                "reference": "441404f09a54de6d1bd6ad219e088cdf4c91f97c"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/finder/zipball/441404f09a54de6d1bd6ad219e088cdf4c91f97c",
+                "reference": "441404f09a54de6d1bd6ad219e088cdf4c91f97c",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4"
+            },
+            "require-dev": {
+                "symfony/filesystem": "^7.4|^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\Finder\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Finds files and directories via an intuitive fluent interface",
+            "homepage": "https://symfony.com",
+            "support": {
+                "source": "https://github.com/symfony/finder/tree/v8.0.6"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-01-29T09:41:02+00:00"
+        },
+        {
+            "name": "symfony/options-resolver",
+            "version": "v8.0.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/options-resolver.git",
+                "reference": "d2b592535ffa6600c265a3893a7f7fd2bad82dd7"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/options-resolver/zipball/d2b592535ffa6600c265a3893a7f7fd2bad82dd7",
+                "reference": "d2b592535ffa6600c265a3893a7f7fd2bad82dd7",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4",
+                "symfony/deprecation-contracts": "^2.5|^3"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\OptionsResolver\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Provides an improved replacement for the array_replace PHP function",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "config",
+                "configuration",
+                "options"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/options-resolver/tree/v8.0.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-11-12T15:55:31+00:00"
+        },
+        {
+            "name": "symfony/polyfill-intl-grapheme",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-intl-grapheme.git",
+                "reference": "380872130d3a5dd3ace2f4010d95125fde5d5c70"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-intl-grapheme/zipball/380872130d3a5dd3ace2f4010d95125fde5d5c70",
+                "reference": "380872130d3a5dd3ace2f4010d95125fde5d5c70",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2"
+            },
+            "suggest": {
+                "ext-intl": "For best performance"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Intl\\Grapheme\\": ""
+                }
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill for intl's grapheme_* functions",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "grapheme",
+                "intl",
+                "polyfill",
+                "portable",
+                "shim"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-intl-grapheme/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-06-27T09:58:17+00:00"
+        },
+        {
+            "name": "symfony/polyfill-intl-normalizer",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-intl-normalizer.git",
+                "reference": "3833d7255cc303546435cb650316bff708a1c75c"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-intl-normalizer/zipball/3833d7255cc303546435cb650316bff708a1c75c",
+                "reference": "3833d7255cc303546435cb650316bff708a1c75c",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2"
+            },
+            "suggest": {
+                "ext-intl": "For best performance"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Intl\\Normalizer\\": ""
+                },
+                "classmap": [
+                    "Resources/stubs"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill for intl's Normalizer class and related functions",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "intl",
+                "normalizer",
+                "polyfill",
+                "portable",
+                "shim"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-intl-normalizer/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2024-09-09T11:45:10+00:00"
+        },
+        {
+            "name": "symfony/polyfill-php84",
+            "version": "v1.33.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/polyfill-php84.git",
+                "reference": "d8ced4d875142b6a7426000426b8abc631d6b191"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/polyfill-php84/zipball/d8ced4d875142b6a7426000426b8abc631d6b191",
+                "reference": "d8ced4d875142b6a7426000426b8abc631d6b191",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=7.2"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/polyfill",
+                    "name": "symfony/polyfill"
+                }
+            },
+            "autoload": {
+                "files": [
+                    "bootstrap.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Polyfill\\Php84\\": ""
+                },
+                "classmap": [
+                    "Resources/stubs"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Symfony polyfill backporting some PHP 8.4+ features to lower PHP versions",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "compatibility",
+                "polyfill",
+                "portable",
+                "shim"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/polyfill-php84/tree/v1.33.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-06-24T13:30:11+00:00"
+        },
+        {
+            "name": "symfony/process",
+            "version": "v8.0.5",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/process.git",
+                "reference": "b5f3aa6762e33fd95efbaa2ec4f4bc9fdd16d674"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/process/zipball/b5f3aa6762e33fd95efbaa2ec4f4bc9fdd16d674",
+                "reference": "b5f3aa6762e33fd95efbaa2ec4f4bc9fdd16d674",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\Process\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Executes commands in sub-processes",
+            "homepage": "https://symfony.com",
+            "support": {
+                "source": "https://github.com/symfony/process/tree/v8.0.5"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-01-26T15:08:38+00:00"
+        },
+        {
+            "name": "symfony/service-contracts",
+            "version": "v3.6.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/service-contracts.git",
+                "reference": "45112560a3ba2d715666a509a0bc9521d10b6c43"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/service-contracts/zipball/45112560a3ba2d715666a509a0bc9521d10b6c43",
+                "reference": "45112560a3ba2d715666a509a0bc9521d10b6c43",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.1",
+                "psr/container": "^1.1|^2.0",
+                "symfony/deprecation-contracts": "^2.5|^3"
+            },
+            "conflict": {
+                "ext-psr": "<1.1|>=2"
+            },
+            "type": "library",
+            "extra": {
+                "thanks": {
+                    "url": "https://github.com/symfony/contracts",
+                    "name": "symfony/contracts"
+                },
+                "branch-alias": {
+                    "dev-main": "3.6-dev"
+                }
+            },
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Contracts\\Service\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Test/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Generic abstractions related to writing services",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "abstractions",
+                "contracts",
+                "decoupling",
+                "interfaces",
+                "interoperability",
+                "standards"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/service-contracts/tree/v3.6.1"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-07-15T11:30:57+00:00"
+        },
+        {
+            "name": "symfony/stopwatch",
+            "version": "v8.0.0",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/stopwatch.git",
+                "reference": "67df1914c6ccd2d7b52f70d40cf2aea02159d942"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/stopwatch/zipball/67df1914c6ccd2d7b52f70d40cf2aea02159d942",
+                "reference": "67df1914c6ccd2d7b52f70d40cf2aea02159d942",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4",
+                "symfony/service-contracts": "^2.5|^3"
+            },
+            "type": "library",
+            "autoload": {
+                "psr-4": {
+                    "Symfony\\Component\\Stopwatch\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Fabien Potencier",
+                    "email": "fabien@symfony.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Provides a way to profile code",
+            "homepage": "https://symfony.com",
+            "support": {
+                "source": "https://github.com/symfony/stopwatch/tree/v8.0.0"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2025-08-04T07:36:47+00:00"
+        },
+        {
+            "name": "symfony/string",
+            "version": "v8.0.6",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/symfony/string.git",
+                "reference": "6c9e1108041b5dce21a9a4984b531c4923aa9ec4"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/symfony/string/zipball/6c9e1108041b5dce21a9a4984b531c4923aa9ec4",
+                "reference": "6c9e1108041b5dce21a9a4984b531c4923aa9ec4",
+                "shasum": ""
+            },
+            "require": {
+                "php": ">=8.4",
+                "symfony/polyfill-ctype": "^1.8",
+                "symfony/polyfill-intl-grapheme": "^1.33",
+                "symfony/polyfill-intl-normalizer": "^1.0",
+                "symfony/polyfill-mbstring": "^1.0"
+            },
+            "conflict": {
+                "symfony/translation-contracts": "<2.5"
+            },
+            "require-dev": {
+                "symfony/emoji": "^7.4|^8.0",
+                "symfony/http-client": "^7.4|^8.0",
+                "symfony/intl": "^7.4|^8.0",
+                "symfony/translation-contracts": "^2.5|^3.0",
+                "symfony/var-exporter": "^7.4|^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "files": [
+                    "Resources/functions.php"
+                ],
+                "psr-4": {
+                    "Symfony\\Component\\String\\": ""
+                },
+                "exclude-from-classmap": [
+                    "/Tests/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "MIT"
+            ],
+            "authors": [
+                {
+                    "name": "Nicolas Grekas",
+                    "email": "p@tchwork.com"
+                },
+                {
+                    "name": "Symfony Community",
+                    "homepage": "https://symfony.com/contributors"
+                }
+            ],
+            "description": "Provides an object-oriented API to strings and deals with bytes, UTF-8 code points and grapheme clusters in a unified way",
+            "homepage": "https://symfony.com",
+            "keywords": [
+                "grapheme",
+                "i18n",
+                "string",
+                "unicode",
+                "utf-8",
+                "utf8"
+            ],
+            "support": {
+                "source": "https://github.com/symfony/string/tree/v8.0.6"
+            },
+            "funding": [
+                {
+                    "url": "https://symfony.com/sponsor",
+                    "type": "custom"
+                },
+                {
+                    "url": "https://github.com/fabpot",
+                    "type": "github"
+                },
+                {
+                    "url": "https://github.com/nicolas-grekas",
+                    "type": "github"
+                },
+                {
+                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
+                    "type": "tidelift"
+                }
+            ],
+            "time": "2026-02-09T10:14:57+00:00"
+        },
+        {
+            "name": "theseer/tokenizer",
+            "version": "1.3.1",
+            "source": {
+                "type": "git",
+                "url": "https://github.com/theseer/tokenizer.git",
+                "reference": "b7489ce515e168639d17feec34b8847c326b0b3c"
+            },
+            "dist": {
+                "type": "zip",
+                "url": "https://api.github.com/repos/theseer/tokenizer/zipball/b7489ce515e168639d17feec34b8847c326b0b3c",
+                "reference": "b7489ce515e168639d17feec34b8847c326b0b3c",
+                "shasum": ""
+            },
+            "require": {
+                "ext-dom": "*",
+                "ext-tokenizer": "*",
+                "ext-xmlwriter": "*",
+                "php": "^7.2 || ^8.0"
+            },
+            "type": "library",
+            "autoload": {
+                "classmap": [
+                    "src/"
+                ]
+            },
+            "notification-url": "https://packagist.org/downloads/",
+            "license": [
+                "BSD-3-Clause"
+            ],
+            "authors": [
+                {
+                    "name": "Arne Blankerts",
+                    "email": "arne@blankerts.de",
+                    "role": "Developer"
+                }
+            ],
+            "description": "A small library for converting tokenized PHP source code into XML and potentially other formats",
+            "support": {
+                "issues": "https://github.com/theseer/tokenizer/issues",
+                "source": "https://github.com/theseer/tokenizer/tree/1.3.1"
+            },
+            "funding": [
+                {
+                    "url": "https://github.com/theseer",
+                    "type": "github"
+                }
+            ],
+            "time": "2025-11-17T20:03:58+00:00"
+        }
+    ],
+    "aliases": [],
+    "minimum-stability": "stable",
+    "stability-flags": {},
+    "prefer-stable": false,
+    "prefer-lowest": false,
+    "platform": {
+        "php": ">=8.1"
+    },
+    "platform-dev": {},
+    "plugin-api-version": "2.6.0"
+}
diff --git a/config/container.php b/config/container.php
new file mode 100644
index 0000000..efd45cb
--- /dev/null
+++ b/config/container.php
@@ -0,0 +1,195 @@
+<?php
+declare(strict_types=1);
+
+/**
+ * Définitions PHP-DI.
+ *
+ * Ce fichier déclare uniquement ce que l'autowiring ne peut pas résoudre seul :
+ *  - Bindings interface → classe concrète
+ *  - Classes nécessitant des paramètres scalaires issus de .env ou de chemins filesystem
+ *
+ * Tout le reste (services, repositories, contrôleurs dont toutes les dépendances
+ * sont typées sur des interfaces) est résolu automatiquement par l'autowiring.
+ */
+
+use App\Auth\AuthService;
+use App\Auth\AuthServiceInterface;
+use App\Auth\LoginAttemptRepository;
+use App\Auth\LoginAttemptRepositoryInterface;
+use App\Auth\PasswordResetController;
+use App\Auth\PasswordResetRepository;
+use App\Auth\PasswordResetRepositoryInterface;
+use App\Auth\PasswordResetService;
+use App\Auth\PasswordResetServiceInterface;
+use App\Category\CategoryRepository;
+use App\Category\CategoryRepositoryInterface;
+use App\Category\CategoryService;
+use App\Category\CategoryServiceInterface;
+use App\Media\MediaRepository;
+use App\Media\MediaRepositoryInterface;
+use App\Media\MediaService;
+use App\Media\MediaServiceInterface;
+use App\Post\PostRepository;
+use App\Post\PostRepositoryInterface;
+use App\Post\PostService;
+use App\Post\PostServiceInterface;
+use App\Post\RssController;
+use App\Shared\Config;
+use App\Shared\Extension\AppExtension;
+use App\Shared\Html\HtmlPurifierFactory;
+use App\Shared\Html\HtmlSanitizer;
+use App\Shared\Html\HtmlSanitizerInterface;
+use App\Shared\Http\ClientIpResolver;
+use App\Shared\Http\FlashService;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManager;
+use App\Shared\Http\SessionManagerInterface;
+use App\Shared\Mail\MailService;
+use App\Shared\Mail\MailServiceInterface;
+use App\User\UserRepository;
+use App\User\UserRepositoryInterface;
+use App\User\UserService;
+use App\User\UserServiceInterface;
+
+use Monolog\Handler\StreamHandler;
+use Monolog\Level;
+use Monolog\Logger;
+use Psr\Log\LoggerInterface;
+use Slim\Views\Twig;
+
+use function DI\autowire;
+use function DI\factory;
+
+return [
+
+    // ── Bindings interface → implémentation ──────────────────────────────────
+
+    AuthServiceInterface::class             => autowire(AuthService::class),
+    PostServiceInterface::class             => autowire(PostService::class),
+    UserServiceInterface::class             => autowire(UserService::class),
+    CategoryServiceInterface::class         => autowire(CategoryService::class),
+    CategoryRepositoryInterface::class      => autowire(CategoryRepository::class),
+    MediaRepositoryInterface::class         => autowire(MediaRepository::class),
+    PostRepositoryInterface::class          => autowire(PostRepository::class),
+    UserRepositoryInterface::class          => autowire(UserRepository::class),
+    LoginAttemptRepositoryInterface::class  => autowire(LoginAttemptRepository::class),
+    PasswordResetRepositoryInterface::class => autowire(PasswordResetRepository::class),
+    PasswordResetServiceInterface::class    => autowire(PasswordResetService::class),
+    FlashServiceInterface::class            => autowire(FlashService::class),
+    SessionManagerInterface::class          => autowire(SessionManager::class),
+    HtmlSanitizerInterface::class           => autowire(HtmlSanitizer::class),
+
+    // ── Infrastructure ────────────────────────────────────────────────────────
+
+    LoggerInterface::class => factory(function (): LoggerInterface {
+        $isDev  = strtolower($_ENV['APP_ENV'] ?? 'production') === 'development';
+        $logger = new Logger('slim-blog');
+        $level  = $isDev ? Level::Debug : Level::Warning;
+
+        $logger->pushHandler(
+            new StreamHandler(dirname(__DIR__) . '/var/logs/app.log', $level)
+        );
+
+        return $logger;
+    }),
+
+    PDO::class => factory(function (): PDO {
+        $pdo = new PDO('sqlite:' . Config::getDatabasePath(), options: [
+            PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
+            PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+        ]);
+
+        // strip_tags() PHP exposée comme fonction SQLite pour les triggers FTS5
+        $pdo->sqliteCreateFunction('strip_tags', 'strip_tags', 1);
+        $pdo->exec('PRAGMA journal_mode=WAL');
+        // Attend jusqu'à 3s avant d'échouer sur une contention en écriture
+        $pdo->exec('PRAGMA busy_timeout=3000');
+        // Réduit les fsync sans sacrifier la cohérence en WAL mode
+        $pdo->exec('PRAGMA synchronous=NORMAL');
+        // Active l'application réelle des contraintes de clé étrangère.
+        // Sans ce pragma, les ON DELETE SET NULL / CASCADE déclarés dans les
+        // migrations sont enregistrés dans le schéma mais silencieusement ignorés
+        // à l'exécution — SQLite désactive les FK par défaut pour la compatibilité.
+        $pdo->exec('PRAGMA foreign_keys=ON');
+
+        return $pdo;
+    }),
+
+    Twig::class => factory(function (): Twig {
+        $isDev = strtolower($_ENV['APP_ENV'] ?? 'production') === 'development';
+
+        return Twig::create(
+            dirname(__DIR__) . '/views',
+            ['cache' => Config::getTwigCache($isDev)],
+        );
+    }),
+
+    \HTMLPurifier::class => factory(function (): \HTMLPurifier {
+        return HtmlPurifierFactory::create(dirname(__DIR__) . '/var/cache/htmlpurifier');
+    }),
+
+    // ── Services nécessitant une configuration .env ───────────────────────────
+
+    MailServiceInterface::class => factory(function (Twig $twig): MailServiceInterface {
+        return new MailService(
+            twig:       $twig,
+            host:       $_ENV['MAIL_HOST']      ?? '',
+            port:       (int) ($_ENV['MAIL_PORT'] ?? 587),
+            username:   $_ENV['MAIL_USERNAME']  ?? '',
+            password:   $_ENV['MAIL_PASSWORD']  ?? '',
+            encryption: strtolower($_ENV['MAIL_ENCRYPTION'] ?? 'tls'),
+            from:       $_ENV['MAIL_FROM']      ?? '',
+            fromName:   $_ENV['MAIL_FROM_NAME'] ?? 'Slim Blog',
+        );
+    }),
+
+    MediaServiceInterface::class => factory(
+        function (MediaRepositoryInterface $mediaRepository): MediaServiceInterface {
+            return new MediaService(
+                mediaRepository: $mediaRepository,
+                uploadDir:       dirname(__DIR__) . '/public/media',
+                uploadUrl:       '/media',
+                maxSize:         (int) ($_ENV['UPLOAD_MAX_SIZE'] ?? 5 * 1024 * 1024),
+            );
+        }
+    ),
+
+    // ── Contrôleurs nécessitant des paramètres scalaires ─────────────────────
+
+    RssController::class => factory(
+        function (PostServiceInterface $postService): RssController {
+            return new RssController(
+                $postService,
+                rtrim($_ENV['APP_URL'] ?? 'http://localhost', '/'),
+                $_ENV['APP_NAME'] ?? 'Slim Blog',
+            );
+        }
+    ),
+
+    PasswordResetController::class => factory(
+        function (
+            Twig $twig,
+            PasswordResetServiceInterface $passwordResetService,
+            AuthServiceInterface $authService,
+            FlashServiceInterface $flash,
+        ): PasswordResetController {
+            return new PasswordResetController(
+                $twig,
+                $passwordResetService,
+                $authService,
+                $flash,
+                rtrim($_ENV['APP_URL'] ?? 'http://localhost', '/'),
+            );
+        }
+    ),
+
+    ClientIpResolver::class => factory(function (): ClientIpResolver {
+        $trusted = array_filter(array_map('trim', explode(',', (string) ($_ENV['TRUSTED_PROXIES'] ?? ''))));
+
+        return new ClientIpResolver($trusted);
+    }),
+
+    AppExtension::class => factory(function (): AppExtension {
+        return new AppExtension(rtrim($_ENV['APP_URL'] ?? 'http://localhost', '/'));
+    }),
+];
diff --git a/database/migrations/001_create_users.php b/database/migrations/001_create_users.php
new file mode 100644
index 0000000..5f5ff17
--- /dev/null
+++ b/database/migrations/001_create_users.php
@@ -0,0 +1,19 @@
+<?php
+
+/**
+ * Migration 001 — Création de la table des utilisateurs.
+ */
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS users (
+            id            INTEGER PRIMARY KEY AUTOINCREMENT,
+            username      TEXT UNIQUE NOT NULL,
+            email         TEXT UNIQUE NOT NULL,
+            password_hash TEXT NOT NULL,
+            role          TEXT NOT NULL DEFAULT 'user',
+            created_at    DATETIME DEFAULT CURRENT_TIMESTAMP
+        )
+    ",
+
+    'down' => 'DROP TABLE IF EXISTS users',
+];
diff --git a/database/migrations/002_create_categories.php b/database/migrations/002_create_categories.php
new file mode 100644
index 0000000..48820ec
--- /dev/null
+++ b/database/migrations/002_create_categories.php
@@ -0,0 +1,23 @@
+<?php
+
+/**
+ * Migration 002 — Création de la table des catégories.
+ *
+ * category_id est une clé étrangère nullable vers category(id).
+ * SET NULL garantit que les articles sont conservés si une catégorie est supprimée.
+ *
+ * SQLite ne supportant pas l'ajout de contrainte FK via ALTER TABLE,
+ * la référence est déclarée inline dans le ADD COLUMN — SQLite l'enregistre
+ * dans le schéma sans l'appliquer strictement à moins que PRAGMA foreign_keys = ON.
+ */
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS categories (
+            id   INTEGER PRIMARY KEY AUTOINCREMENT,
+            name TEXT UNIQUE NOT NULL,
+            slug TEXT UNIQUE NOT NULL
+        );
+    ",
+
+    'down' => 'DROP TABLE IF EXISTS categories',
+];
diff --git a/database/migrations/003_create_posts.php b/database/migrations/003_create_posts.php
new file mode 100644
index 0000000..279c38c
--- /dev/null
+++ b/database/migrations/003_create_posts.php
@@ -0,0 +1,31 @@
+<?php
+
+/**
+ * Migration 003 — Création de la table des articles.
+ *
+ * author_id est une clé étrangère nullable vers users(id).
+ * SET NULL garantit que les articles sont conservés si l'auteur est supprimé.
+ *
+ * Index explicite sur author_id : SQLite n'indexe pas automatiquement les FK.
+ * Utilisé par findByUserId() (liste admin) et par les filtres de recherche FTS.
+ */
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS posts (
+            id          INTEGER PRIMARY KEY AUTOINCREMENT,
+            title       TEXT NOT NULL,
+            content     TEXT NOT NULL,
+            slug        TEXT UNIQUE NOT NULL DEFAULT '',
+            author_id   INTEGER REFERENCES users(id) ON DELETE SET NULL,
+            category_id INTEGER REFERENCES categories(id) ON DELETE SET NULL,
+            created_at  DATETIME DEFAULT CURRENT_TIMESTAMP,
+            updated_at  DATETIME DEFAULT CURRENT_TIMESTAMP
+        );
+        CREATE INDEX IF NOT EXISTS idx_posts_author_id ON posts(author_id);
+    ",
+
+    'down' => "
+        DROP INDEX IF EXISTS idx_posts_author_id;
+        DROP TABLE  IF EXISTS posts;
+    ",
+];
diff --git a/database/migrations/004_create_media.php b/database/migrations/004_create_media.php
new file mode 100644
index 0000000..f8136d1
--- /dev/null
+++ b/database/migrations/004_create_media.php
@@ -0,0 +1,29 @@
+<?php
+
+/**
+ * Migration 004 — Création de la table des médias uploadés.
+ *
+ * La colonne hash (SHA-256) est unique et permet la détection des doublons à l'upload.
+ * user_id est nullable : SET NULL si le compte auteur est supprimé.
+ *
+ * Index explicite sur user_id : SQLite n'indexe pas automatiquement les FK.
+ * Utilisé par findByUserId() dans la galerie média.
+ */
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS media (
+            id         INTEGER PRIMARY KEY AUTOINCREMENT,
+            filename   TEXT NOT NULL,
+            url        TEXT NOT NULL,
+            hash       TEXT NOT NULL UNIQUE,
+            user_id    INTEGER REFERENCES users(id) ON DELETE SET NULL,
+            created_at DATETIME DEFAULT CURRENT_TIMESTAMP
+        );
+        CREATE INDEX IF NOT EXISTS idx_media_user_id ON media(user_id);
+    ",
+
+    'down' => "
+        DROP INDEX IF EXISTS idx_media_user_id;
+        DROP TABLE  IF EXISTS media;
+    ",
+];
diff --git a/database/migrations/005_create_password_resets.php b/database/migrations/005_create_password_resets.php
new file mode 100644
index 0000000..ed07f78
--- /dev/null
+++ b/database/migrations/005_create_password_resets.php
@@ -0,0 +1,26 @@
+<?php
+
+/**
+ * Migration 005 — Création de la table de réinitialisation de mot de passe.
+ *
+ * token_hash : hash SHA-256 du token envoyé par email — le token brut
+ *              n'est jamais stocké en base pour limiter l'impact d'une fuite.
+ * expires_at : timestamp d'expiration (1 heure après création).
+ * used_at    : timestamp de consommation — le token est invalidé après usage
+ *              sans être supprimé immédiatement (traçabilité).
+ * user_id    : CASCADE — supprime les tokens si l'utilisateur est supprimé.
+ */
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS password_resets (
+            id         INTEGER PRIMARY KEY AUTOINCREMENT,
+            user_id    INTEGER NOT NULL REFERENCES users(id) ON DELETE CASCADE,
+            token_hash TEXT NOT NULL UNIQUE,
+            expires_at DATETIME NOT NULL,
+            used_at    DATETIME DEFAULT NULL,
+            created_at DATETIME DEFAULT CURRENT_TIMESTAMP
+        )
+    ",
+
+    'down' => 'DROP TABLE IF EXISTS password_resets',
+];
diff --git a/database/migrations/006_create_posts_fts.php b/database/migrations/006_create_posts_fts.php
new file mode 100644
index 0000000..a42bf3f
--- /dev/null
+++ b/database/migrations/006_create_posts_fts.php
@@ -0,0 +1,68 @@
+<?php
+
+/**
+ * Migration 006 — Création de l'index FTS5 pour la recherche plein texte.
+ *
+ * Crée une table virtuelle FTS5 `posts_fts` indexant le titre, le contenu
+ * et le nom de l'auteur de chaque article. Le rowid de la table FTS correspond
+ * à l'id de l'article dans `posts`.
+ *
+ * Trois triggers maintiennent la synchronisation automatique entre `posts`
+ * et `posts_fts` à chaque INSERT, UPDATE et DELETE.
+ *
+ * La colonne `author_username` est résolue par sous-requête lors de l'écriture
+ * dans le trigger, ce qui évite de stocker une valeur dénormalisée en dehors
+ * de l'index FTS (dont le seul rôle est la recherche).
+ *
+ * Le contenu HTML est passé par `strip_tags()` (fonction PHP enregistrée sur la
+ * connexion PDO via `sqliteCreateFunction`) avant indexation, afin d'éviter que
+ * les balises et attributs HTML ne polluent l'index et ne génèrent du bruit.
+ *
+ * Tokenizer utilisé : unicode61 (défaut FTS5) — gère les diacritiques et les
+ * caractères non-ASCII, insensible à la casse.
+ */
+return [
+    'up' => "
+        CREATE VIRTUAL TABLE IF NOT EXISTS posts_fts USING fts5(
+            title,
+            content,
+            author_username,
+            tokenize = 'unicode61 remove_diacritics 1'
+        );
+
+        CREATE TRIGGER IF NOT EXISTS posts_fts_insert
+        AFTER INSERT ON posts BEGIN
+            INSERT INTO posts_fts(rowid, title, content, author_username)
+            VALUES (
+                NEW.id,
+                NEW.title,
+                COALESCE(strip_tags(NEW.content), ''),
+                COALESCE((SELECT username FROM users WHERE id = NEW.author_id), '')
+            );
+        END;
+
+        CREATE TRIGGER IF NOT EXISTS posts_fts_update
+        AFTER UPDATE ON posts BEGIN
+            DELETE FROM posts_fts WHERE rowid = OLD.id;
+            INSERT INTO posts_fts(rowid, title, content, author_username)
+            VALUES (
+                NEW.id,
+                NEW.title,
+                COALESCE(strip_tags(NEW.content), ''),
+                COALESCE((SELECT username FROM users WHERE id = NEW.author_id), '')
+            );
+        END;
+
+        CREATE TRIGGER IF NOT EXISTS posts_fts_delete
+        AFTER DELETE ON posts BEGIN
+            DELETE FROM posts_fts WHERE rowid = OLD.id;
+        END;
+    ",
+
+    'down' => "
+        DROP TRIGGER IF EXISTS posts_fts_delete;
+        DROP TRIGGER IF EXISTS posts_fts_update;
+        DROP TRIGGER IF EXISTS posts_fts_insert;
+        DROP TABLE  IF EXISTS posts_fts;
+    ",
+];
diff --git a/database/migrations/007_create_login_attempts.php b/database/migrations/007_create_login_attempts.php
new file mode 100644
index 0000000..58963ae
--- /dev/null
+++ b/database/migrations/007_create_login_attempts.php
@@ -0,0 +1,27 @@
+<?php
+
+/**
+ * Migration 007 — Table de protection contre le brute-force.
+ *
+ * Stocke les tentatives de connexion échouées par adresse IP.
+ * Le champ `locked_until` est NULL tant que le seuil n'est pas atteint,
+ * puis contient la date/heure ISO 8601 de fin de verrouillage.
+ *
+ * Le nettoyage des entrées expirées est effectué par LoginAttemptRepository
+ * à chaque tentative pour éviter l'accumulation de lignes obsolètes,
+ * sans nécessiter de tâche planifiée.
+ */
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS login_attempts (
+            ip           TEXT NOT NULL PRIMARY KEY,
+            attempts     INTEGER NOT NULL DEFAULT 0,
+            locked_until TEXT DEFAULT NULL,
+            updated_at   TEXT NOT NULL DEFAULT (datetime('now'))
+        );
+    ",
+
+    'down' => "
+        DROP TABLE IF EXISTS login_attempts;
+    ",
+];
diff --git a/database/migrations/008_sync_posts_fts_when_users_change.php b/database/migrations/008_sync_posts_fts_when_users_change.php
new file mode 100644
index 0000000..8f4a8a5
--- /dev/null
+++ b/database/migrations/008_sync_posts_fts_when_users_change.php
@@ -0,0 +1,25 @@
+<?php
+
+return [
+    'up' => "
+        DROP TRIGGER IF EXISTS posts_fts_users_delete;
+        DROP TRIGGER IF EXISTS posts_fts_users_update;
+
+        CREATE TRIGGER IF NOT EXISTS posts_fts_users_update
+        AFTER UPDATE OF username ON users BEGIN
+            DELETE FROM posts_fts
+            WHERE rowid IN (SELECT id FROM posts WHERE author_id = NEW.id);
+
+            INSERT INTO posts_fts(rowid, title, content, author_username)
+            SELECT p.id,
+                   p.title,
+                   COALESCE(strip_tags(p.content), ''),
+                   NEW.username
+            FROM posts p
+            WHERE p.author_id = NEW.id;
+        END;
+    ",
+    'down' => "
+        DROP TRIGGER IF EXISTS posts_fts_users_update;
+    ",
+];
diff --git a/docker-compose.yml b/docker-compose.yml
new file mode 100644
index 0000000..51f878d
--- /dev/null
+++ b/docker-compose.yml
@@ -0,0 +1,52 @@
+services:
+  app:
+    build:
+      context: .
+      dockerfile: docker/php/Dockerfile
+    restart: unless-stopped
+    volumes:
+      # Répertoire de travail de l'entrypoint : reçoit public/ compilé,
+      # puis partagé avec Nginx via le mount ci-dessous.
+      - ./data:/data
+
+      # Base SQLite et migrations : persistés entre redéploiements.
+      - ./data/database:/var/www/app/database
+
+      # Cache Twig/HTMLPurifier et logs : persistés entre redémarrages.
+      - ./data/var:/var/www/app/var
+
+      # Uploads : PHP écrit dans public/media/, Nginx le sert en lecture seule.
+      - ./data/public/media:/var/www/app/public/media
+
+      # phpdotenv requiert un fichier physique sur le disque (Dotenv::createImmutable) ;
+      # `env_file` seul ne suffit pas car il injecte uniquement dans l'environnement
+      # du process sans créer de fichier accessible via file_get_contents.
+      - ./.env:/var/www/app/.env:ro
+
+    # Rend les variables accessibles via getenv() / $_SERVER en dehors de phpdotenv
+    # (scripts CLI, healthchecks…).
+    env_file: .env
+
+    # Vérifie que PHP-FPM écoute sur le port 9000 avant de déclarer le service sain.
+    # bash /dev/tcp est disponible sur l'image Debian php:8.3-fpm sans dépendance
+    # supplémentaire. start_period laisse le temps à entrypoint.sh de terminer
+    # (sync public/, migrations, seed) avant que les échecs ne comptent.
+    healthcheck:
+      test: ["CMD-SHELL", "bash -c 'echo > /dev/tcp/localhost/9000'"]
+      interval: 10s
+      timeout: 3s
+      retries: 3
+      start_period: 20s
+
+  nginx:
+    image: nginx:stable
+    restart: unless-stopped
+    depends_on:
+      app:
+        condition: service_healthy
+    ports:
+      - "127.0.0.1:8888:80"
+    volumes:
+      - ./docker/nginx/default.conf:/etc/nginx/conf.d/default.conf:ro
+      # Fichiers statiques servis directement par Nginx sans passer par PHP.
+      - ./data/public:/var/www/app/public:ro
diff --git a/docker/nginx/default.conf b/docker/nginx/default.conf
new file mode 100644
index 0000000..dd33aa6
--- /dev/null
+++ b/docker/nginx/default.conf
@@ -0,0 +1,54 @@
+server {
+    listen 80;
+    server_name _;
+
+    root  /var/www/app/public;
+    index index.php;
+
+    # ── En-têtes de sécurité HTTP ────────────────────────────────────────────
+    # Empêche le chargement de la page dans une iframe (clickjacking)
+    add_header X-Frame-Options "SAMEORIGIN" always;
+    # Désactive le sniffing MIME : le navigateur respecte le Content-Type déclaré
+    add_header X-Content-Type-Options "nosniff" always;
+    # Limite les informations transmises dans le Referer aux pages externes
+    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
+    # Désactive les fonctionnalités navigateur non utilisées
+    add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
+
+    # Fichiers statiques servis directement par Nginx, sans passer par PHP.
+    # expires 1y active le cache navigateur longue durée.
+    location ~* \.(css|js|ico|png|jpg|jpeg|gif|svg|webp|woff2)$ {
+        try_files $uri =404;
+        expires 1y;
+        access_log off;
+    }
+
+    # Bloquer l'exécution de PHP dans le répertoire des uploads.
+    location ~* /media/.*\.php$ {
+        deny all;
+    }
+
+    # Front controller Slim : toute URL sans fichier correspondant
+    # est renvoyée vers index.php pour être traitée par le routeur.
+    location / {
+        try_files $uri $uri/ /index.php$is_args$args;
+    }
+
+    # PHP-FPM via réseau Docker interne (port 9000 par défaut).
+    location ~ \.php$ {
+        fastcgi_pass  app:9000;
+        fastcgi_index index.php;
+        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
+        include       fastcgi_params;
+
+        # Transmet les en-têtes du reverse proxy amont (Caddy hôte, etc.)
+        # pour que l'application connaisse l'IP réelle du client et le protocole.
+        fastcgi_param HTTP_X_FORWARDED_FOR   $proxy_add_x_forwarded_for;
+        fastcgi_param HTTP_X_FORWARDED_PROTO $http_x_forwarded_proto;
+    }
+
+    # Bloquer l'accès aux fichiers sensibles.
+    location ~ /\.(env|git|htaccess) {
+        deny all;
+    }
+}
diff --git a/docker/php/Dockerfile b/docker/php/Dockerfile
new file mode 100644
index 0000000..ff018c3
--- /dev/null
+++ b/docker/php/Dockerfile
@@ -0,0 +1,44 @@
+# ── Stage 1 : compilation des assets ────────────────────────────────────────
+FROM node:20-slim AS assets
+
+WORKDIR /build
+COPY package.json package-lock.json ./
+# Layer séparé : npm ci n'est relancé que si package-lock.json change.
+# npm run build est dans un layer distinct : toute modification dans assets/
+# invalide uniquement ce layer, sans réinstaller les packages.
+RUN npm ci
+COPY assets/ assets/
+RUN npm run build
+
+# ── Stage 2 : image PHP de production ───────────────────────────────────────
+FROM php:8.3-fpm
+
+# Extensions système et PHP dans un seul layer
+RUN apt-get update && apt-get install -y --no-install-recommends \
+        libsqlite3-dev libxml2-dev libonig-dev \
+        libpng-dev libjpeg62-turbo-dev libwebp-dev unzip \
+    && rm -rf /var/lib/apt/lists/* \
+    && docker-php-ext-configure gd --with-webp --with-jpeg \
+    && docker-php-ext-install pdo_sqlite mbstring dom fileinfo gd
+
+COPY docker/php/php.ini /usr/local/etc/php/conf.d/custom.ini
+COPY --from=composer:2 /usr/bin/composer /usr/bin/composer
+
+WORKDIR /var/www/app
+
+# Dépendances Composer — layer mis en cache tant que les lock files n'ont pas changé
+COPY composer.json composer.lock ./
+RUN composer install --no-dev --optimize-autoloader --no-interaction
+
+# Code source + assets compilés depuis le stage 1
+COPY . .
+COPY --from=assets /build/public/assets/ public/assets/
+
+# Archive les migrations hors du WORKDIR : le bind mount ./data/database/
+# écrase /var/www/app/database/ au démarrage — l'entrypoint recopie depuis ici.
+RUN cp -r database /database.baked
+
+COPY --chmod=755 docker/php/entrypoint.sh /usr/local/bin/entrypoint.sh
+
+ENTRYPOINT ["entrypoint.sh"]
+CMD ["php-fpm"]
diff --git a/docker/php/entrypoint.sh b/docker/php/entrypoint.sh
new file mode 100644
index 0000000..3766e5d
--- /dev/null
+++ b/docker/php/entrypoint.sh
@@ -0,0 +1,42 @@
+#!/bin/sh
+set -e
+
+# public/ → assets compilés, index.php
+# Synchronisé à chaque démarrage pour déployer les nouveaux assets.
+# media/ est exclu : c'est un bind mount séparé contenant les uploads
+# utilisateurs — le copier dans sa propre destination causerait une erreur.
+for item in /var/www/app/public/*; do
+	name=$(basename "$item")
+	[ "$name" = "media" ] && continue
+	cp -a "$item" /data/public/
+done
+
+# database/ → migrations depuis l'archive baked.
+# /var/www/app/database/ est un bind mount vide au premier démarrage :
+# les migrations sont copiées depuis /database.baked/ qui n'est pas monté.
+# cp -rn préserve app.sqlite sur les déploiements suivants.
+cp -rn /database.baked/. /var/www/app/database/ 2>/dev/null || true
+
+# Pré-création de public/media/ pour que les permissions soient fixées
+# ici, en même temps que les autres répertoires persistants, plutôt qu'à
+# la première requête par Bootstrap::checkDirectories().
+mkdir -p /var/www/app/public/media
+
+# Permissions sur les bind mounts : doit s'exécuter en root avant
+# le démarrage de PHP-FPM. Bootstrap.php crée ensuite les sous-répertoires
+# (var/cache/twig, var/cache/htmlpurifier, var/logs) à la première requête
+# avec les bonnes permissions.
+chown -R www-data:www-data /data /var/www/app/database /var/www/app/var /var/www/app/public/media
+
+# Invalider les caches compilés à chaque déploiement.
+# - Twig  : les templates compilés peuvent être obsolètes après modification d'une vue
+#           ou d'une extension Twig.
+# - DI    : le container PHP-DI compilé doit être regénéré après tout changement
+#           dans config/container.php. Sans cette ligne, la première requête compile
+#           un container incohérent et toutes les suivantes échouent avec une erreur 500.
+rm -rf /var/www/app/var/cache/twig/*
+rm -rf /var/www/app/var/cache/di/*
+
+# Passe la main à la commande principale (php-fpm) en remplaçant le processus
+# entrypoint par php-fpm PID 1 — requis pour la gestion des signaux Docker.
+exec "$@"
diff --git a/docker/php/php.ini b/docker/php/php.ini
new file mode 100644
index 0000000..f571868
--- /dev/null
+++ b/docker/php/php.ini
@@ -0,0 +1,14 @@
+; Limites upload — doivent être cohérentes avec UPLOAD_MAX_SIZE dans .env.
+upload_max_filesize = 6M
+post_max_size       = 8M
+
+; Ne pas exposer la version PHP dans l'en-tête X-Powered-By
+expose_php = Off
+
+; Remonte les erreurs PHP vers Docker
+log_errors  = On
+error_log   = /dev/stderr
+
+; Renommer le cookie de session pour éviter le fingerprint PHP (PHPSESSID par défaut)
+; La valeur doit être synchronisée avec session_name() dans public/index.php si modifiée.
+session.name = sid
diff --git a/docs/ARCHITECTURE.md b/docs/ARCHITECTURE.md
new file mode 100644
index 0000000..b43a585
--- /dev/null
+++ b/docs/ARCHITECTURE.md
@@ -0,0 +1,442 @@
+# Architecture
+
+## Domaines PHP
+
+Chaque domaine dans `src/` est autonome : modèle, interface de dépôt, implémentation du dépôt,
+contrôleur. Les dépendances inter-domaines sont explicites, minimales et toujours unidirectionnelles
+(voir §&nbsp;Dépendances inter-domaines ci-dessous).
+
+| Domaine     | Réutilisable | Notes                                                                        |
+|-------------|:---:|------------------------------------------------------------------------------|
+| `User/`     | ✅  | Modèle utilisateur, persistance, création de comptes                         |
+| `Auth/`     | ✅  | Sessions, authentification, reset mot de passe — dépend de `User/` en lecture |
+| `Category/` | ✅  | Générique — deux lignes à adapter si la table cible change                   |
+| `Media/`    | ✅  | Upload, déduplication, gestion des fichiers                                  |
+| `Shared/`   | ✅  | Infrastructure complète — rien de métier                                     |
+| `Post/`     | ➡  | Spécifique au blog — dépend de `Category/` en présentation. Remplacer par `Product/` pour une boutique |
+
+### Dépendances inter-domaines
+
+Le projet compte deux dépendances explicites entre domaines métier :
+
+**`Auth/ → User/`** — `AuthService` et `PasswordResetService` consomment `UserRepositoryInterface`
+pour lire les comptes lors de l'authentification et de la réinitialisation de mot de passe.
+Unidirectionnelle : `User/` n'importe rien de `Auth/`.
+
+**`Post/ → Category/`** — `PostController` injecte `CategoryServiceInterface` pour alimenter
+la liste des catégories dans le formulaire de création/édition d'article. Dépendance de
+présentation uniquement : `PostService` et `PostRepository` ne connaissent pas `Category/`.
+Unidirectionnelle : `Category/` n'importe rien de `Post/`.
+
+### Structure d'un domaine
+
+Ajouter un nouveau domaine suit toujours le même schéma :
+
+```
+src/MonDomaine/
+├── Exception/                         ← Exceptions métier spécifiques
+│   └── MonErreurException.php
+├── MonEntite.php                      ← Modèle immuable
+├── MonEntiteRepositoryInterface.php   ← Contrat de persistance
+├── MonEntiteRepository.php            ← Implémentation PDO (implements l'interface)
+├── MonEntiteService.php               ← Logique métier (dépend de l'interface)
+└── MonEntiteController.php            ← Actions HTTP (dépend du service)
+```
+
+1. Créer les fichiers selon la structure ci-dessus
+2. Ajouter le binding interface → classe dans `config/container.php` :
+   `MonEntiteRepositoryInterface::class => autowire(MonEntiteRepository::class)`
+   (les services et contrôleurs dont toutes les dépendances sont typées sur des interfaces
+   sont résolus automatiquement par l'autowiring PHP-DI — aucune factory supplémentaire)
+3. Déclarer les routes dans `Routes.php`
+4. Ajouter la migration dans `database/migrations/`
+
+### Interfaces de dépôts
+
+Chaque repository implémente son interface. Les services et contrôleurs dépendent uniquement de l'interface, jamais de la classe concrète :
+
+```php
+// ✅ Correct — le service dépend de l'abstraction
+final class PostService
+{
+    public function __construct(
+        private readonly PostRepositoryInterface $postRepository,
+    ) {}
+}
+
+// ❌ À éviter — couplage fort à l'implémentation
+final class PostService
+{
+    public function __construct(
+        private readonly PostRepository $postRepository,
+    ) {}
+}
+```
+
+| Interface                          | Implémentation            | Domaine    |
+|------------------------------------|---------------------------|------------|
+| `UserRepositoryInterface`          | `UserRepository`          | `User/`    |
+| `UserServiceInterface`             | `UserService`             | `User/`    |
+| `LoginAttemptRepositoryInterface`  | `LoginAttemptRepository`  | `Auth/`    |
+| `PasswordResetRepositoryInterface` | `PasswordResetRepository` | `Auth/`    |
+| `PasswordResetServiceInterface`    | `PasswordResetService`    | `Auth/`    |
+| `AuthServiceInterface`             | `AuthService`             | `Auth/`    |
+| `PostRepositoryInterface`          | `PostRepository`          | `Post/`    |
+| `PostServiceInterface`             | `PostService`             | `Post/`    |
+| `CategoryRepositoryInterface`      | `CategoryRepository`      | `Category/`|
+| `CategoryServiceInterface`         | `CategoryService`         | `Category/`|
+| `MediaRepositoryInterface`         | `MediaRepository`         | `Media/`   |
+| `MediaServiceInterface`            | `MediaService`            | `Media/`   |
+| `SessionManagerInterface`          | `SessionManager`          | `Shared/`  |
+| `MailServiceInterface`             | `MailService`             | `Shared/`  |
+| `FlashServiceInterface`            | `FlashService`            | `Shared/`  |
+
+### Exceptions métier
+
+Les erreurs métier levées intentionnellement utilisent des exceptions dédiées plutôt que des exceptions génériques, ce qui permet aux appelants de les distinguer sans analyser le message :
+
+| Exception                    | Namespace              | Levée par                                              |
+|------------------------------|------------------------|--------------------------------------------------------|
+| `DuplicateUsernameException` | `App\User\Exception`   | `UserService::createUser()`                            |
+| `DuplicateEmailException`    | `App\User\Exception`   | `UserService::createUser()`                            |
+| `WeakPasswordException`      | `App\User\Exception`   | `UserService`, `AuthService`, `PasswordResetService`   |
+| `NotFoundException`          | `App\Shared\Exception` | `PostService`, `AuthService`                           |
+| `FileTooLargeException`      | `App\Media\Exception`  | `MediaService::store()`                                |
+| `InvalidMimeTypeException`   | `App\Media\Exception`  | `MediaService::store()`                                |
+| `StorageException`           | `App\Media\Exception`  | `MediaService::store()`                                |
+
+## Base de données
+
+```
+users
+├── id            INTEGER PK AUTOINCREMENT
+├── username      TEXT UNIQUE NOT NULL
+├── email         TEXT UNIQUE NOT NULL
+├── password_hash TEXT NOT NULL
+├── role          TEXT NOT NULL DEFAULT 'user'  ← 'user' | 'editor' | 'admin'
+└── created_at    DATETIME
+
+categories
+├── id   INTEGER PK AUTOINCREMENT
+├── name TEXT UNIQUE NOT NULL
+└── slug TEXT UNIQUE NOT NULL
+
+posts
+├── id          INTEGER PK AUTOINCREMENT
+├── title       TEXT NOT NULL
+├── content     TEXT NOT NULL
+├── slug        TEXT UNIQUE NOT NULL
+├── author_id   INTEGER → users(id) ON DELETE SET NULL
+├── category_id INTEGER → categories(id) ON DELETE SET NULL
+├── created_at  DATETIME
+└── updated_at  DATETIME
+
+media
+├── id         INTEGER PK AUTOINCREMENT
+├── filename   TEXT NOT NULL
+├── url        TEXT NOT NULL
+├── hash       TEXT UNIQUE NOT NULL  ← SHA-256, détection des doublons
+├── user_id    INTEGER → users(id) ON DELETE SET NULL
+└── created_at DATETIME
+
+password_resets
+├── id         INTEGER PK AUTOINCREMENT
+├── user_id    INTEGER → users(id) ON DELETE CASCADE
+├── token_hash TEXT UNIQUE NOT NULL  ← SHA-256, token brut jamais stocké
+├── expires_at DATETIME NOT NULL     ← 1 heure après création
+├── used_at    DATETIME              ← NULL jusqu'à consommation
+└── created_at DATETIME
+
+posts_fts  (table virtuelle FTS5, maintenue par triggers)
+├── title
+├── content          ← HTML strippé via strip_tags
+└── author_username
+    rowid = posts.id
+
+login_attempts  (protection brute-force — une ligne par IP)
+├── ip           TEXT PK                ← adresse IP de l'appelant
+├── attempts     INTEGER NOT NULL       ← compteur de tentatives échouées
+├── locked_until TEXT DEFAULT NULL      ← NULL tant que le seuil n'est pas atteint
+└── updated_at   TEXT NOT NULL          ← mis à jour à chaque tentative
+```
+
+**Index explicites** (intégrés dans les migrations 003 et 004) :
+
+| Index                   | Colonne            | Justification                                       |
+|-------------------------|--------------------|----------------------------------------------------|
+| `idx_posts_author_id`   | `posts.author_id`  | Filtre `findByUserId()` et recherche FTS par auteur |
+| `idx_media_user_id`     | `media.user_id`    | Filtre `findByUserId()` dans la galerie média        |
+
+SQLite n'indexe pas automatiquement les colonnes de clé étrangère — seules `UNIQUE` et `PRIMARY KEY` le sont. Sans ces index, les requêtes filtrées par auteur/utilisateur effectuent un scan complet de la table.
+
+**Configuration SQLite au démarrage** (dans `config/container.php`) :
+
+```
+PRAGMA journal_mode = WAL          → lectures non bloquées par les écritures
+PRAGMA busy_timeout = 3000         → attend 3 s avant d'échouer sur contention
+PRAGMA synchronous  = NORMAL       → réduit les fsync en mode WAL (sûr)
+PRAGMA foreign_keys = ON           → active l'application réelle des contraintes FK
+```
+
+> Sans `PRAGMA foreign_keys = ON`, les clauses `ON DELETE SET NULL / CASCADE` sont
+> enregistrées dans le schéma mais silencieusement ignorées par SQLite.
+
+Les migrations s'exécutent automatiquement au démarrage (`Migrator::run()`) et ne sont jouées
+qu'une fois (table `migrations` de suivi). `run()` appelle également `syncFtsIndex()` à chaque
+démarrage : cette méthode insère dans `posts_fts` les articles dont le `rowid` est absent de
+l'index, sans toucher aux entrées existantes (idempotent). Elle corrige le cas où des articles
+auraient été insérés avant la création des triggers FTS5. Le provisionnement du compte
+administrateur est délégué à `Seeder::seed()` — appelé après `Migrator::run()` à chaque
+démarrage (idempotent : sans effet si le compte existe déjà).
+
+## Routes
+
+| Méthode | URL                             | Accès         | Description                                    |
+|---------|---------------------------------|---------------|------------------------------------------------|
+| GET     | `/`                             | Public        | Accueil (`?categorie=`, `?q=`)                 |
+| GET     | `/article/{slug}`               | Public        | Détail d'un article                            |
+| GET     | `/rss.xml`                      | Public        | Flux RSS (20 derniers articles)                |
+| GET     | `/auth/login`                   | Public        | Formulaire de connexion                        |
+| POST    | `/auth/login`                   | Public        | Traitement de la connexion                     |
+| POST    | `/auth/logout`                  | Public        | Déconnexion                                    |
+| GET     | `/password/forgot`              | Public        | Formulaire mot de passe oublié                 |
+| POST    | `/password/forgot`              | Public        | Envoi du lien de réinitialisation (rate-limited par IP) |
+| GET     | `/password/reset`               | Public        | Formulaire réinitialisation (token en query)   |
+| POST    | `/password/reset`               | Public        | Traitement de la réinitialisation              |
+| GET     | `/account/password`             | Auth          | Formulaire changement de mot de passe          |
+| POST    | `/account/password`             | Auth          | Traitement du changement de mot de passe       |
+| GET     | `/admin/posts`                  | Auth          | Liste des articles                             |
+| GET     | `/admin/posts/edit/{id}`        | Auth          | Formulaire d'édition                           |
+| POST    | `/admin/posts/create`           | Auth          | Création d'un article                          |
+| POST    | `/admin/posts/edit/{id}`        | Auth          | Mise à jour d'un article                       |
+| POST    | `/admin/posts/delete/{id}`      | Auth          | Suppression d'un article                       |
+| GET     | `/admin/categories`             | Editor+       | Gestion des catégories                         |
+| POST    | `/admin/categories/create`      | Editor+       | Création d'une catégorie                       |
+| POST    | `/admin/categories/delete/{id}` | Editor+       | Suppression d'une catégorie                    |
+| GET     | `/admin/media`                  | Auth          | Galerie de médias                              |
+| POST    | `/admin/media/upload`           | Auth          | Upload d'image (AJAX Trumbowyg)                |
+| POST    | `/admin/media/delete/{id}`      | Auth          | Suppression d'un média                         |
+| GET     | `/admin/users`                  | Admin         | Liste des utilisateurs                         |
+| GET     | `/admin/users/create`           | Admin         | Formulaire de création d'utilisateur           |
+| POST    | `/admin/users/create`           | Admin         | Création d'un utilisateur                      |
+| POST    | `/admin/users/role/{id}`        | Admin         | Modification du rôle d'un utilisateur          |
+| POST    | `/admin/users/delete/{id}`      | Admin         | Suppression d'un utilisateur                   |
+
+## Arborescence
+
+```
+src/
+├── Auth/
+│   ├── Middleware/
+│   │   ├── AdminMiddleware.php
+│   │   ├── AuthMiddleware.php
+│   │   └── EditorMiddleware.php
+│   ├── AccountController.php
+│   ├── AuthController.php
+│   ├── AuthService.php
+│   ├── AuthServiceInterface.php
+│   ├── LoginAttemptRepository.php
+│   ├── LoginAttemptRepositoryInterface.php
+│   ├── PasswordResetController.php
+│   ├── PasswordResetRepository.php
+│   ├── PasswordResetRepositoryInterface.php
+│   ├── PasswordResetService.php
+│   └── PasswordResetServiceInterface.php
+├── Category/
+│   ├── Category.php
+│   ├── CategoryController.php
+│   ├── CategoryRepository.php
+│   ├── CategoryRepositoryInterface.php
+│   ├── CategoryService.php
+│   └── CategoryServiceInterface.php
+├── Media/
+│   ├── Exception/
+│   │   ├── FileTooLargeException.php
+│   │   ├── InvalidMimeTypeException.php
+│   │   └── StorageException.php
+│   ├── Media.php
+│   ├── MediaController.php
+│   ├── MediaRepository.php
+│   ├── MediaRepositoryInterface.php
+│   ├── MediaService.php
+│   └── MediaServiceInterface.php
+├── Post/
+│   ├── Post.php
+│   ├── PostController.php
+│   ├── PostExtension.php
+│   ├── PostRepository.php
+│   ├── PostRepositoryInterface.php
+│   ├── PostService.php
+│   ├── PostServiceInterface.php
+│   └── RssController.php
+├── Shared/
+│   ├── Database/Migrator.php
+│   ├── Database/Seeder.php
+│   ├── Exception/
+│   │   └── NotFoundException.php
+│   ├── Extension/
+│   │   ├── AppExtension.php
+│   │   ├── CsrfExtension.php
+│   │   └── SessionExtension.php
+│   ├── Html/
+│   │   ├── HtmlPurifierFactory.php
+│   │   ├── HtmlSanitizer.php
+│   │   └── HtmlSanitizerInterface.php
+│   ├── Http/
+│   │   ├── FlashService.php
+│   │   ├── FlashServiceInterface.php
+│   │   ├── SessionManager.php
+│   │   └── SessionManagerInterface.php
+│   ├── Mail/
+│   │   ├── MailService.php
+│   │   └── MailServiceInterface.php
+│   ├── Util/
+│   │   ├── DateParser.php             ← Conversion DateTime depuis la base (Post, User, Media)
+│   │   └── SlugHelper.php             ← Génération de slug (Post, Category)
+│   ├── Bootstrap.php
+│   ├── Config.php
+│   └── Routes.php
+
+├── User/
+│   ├── Exception/
+│   │   ├── DuplicateEmailException.php
+│   │   ├── DuplicateUsernameException.php
+│   │   └── WeakPasswordException.php
+│   ├── User.php
+│   ├── UserController.php
+│   ├── UserRepository.php
+│   ├── UserRepositoryInterface.php
+│   ├── UserService.php
+│   └── UserServiceInterface.php
+
+config/
+└── container.php                      ← Définitions PHP-DI (bindings + factories scalaires)
+
+tests/
+├── ControllerTestCase.php             ← Classe de base abstraite (helpers PSR-7, assertions HTTP)
+├── Auth/
+│   ├── AccountControllerTest.php
+│   ├── AuthControllerTest.php
+│   ├── AuthServiceRateLimitTest.php
+│   ├── AuthServiceTest.php
+│   ├── LoginAttemptRepositoryTest.php
+│   ├── PasswordResetControllerTest.php
+│   ├── PasswordResetRepositoryTest.php
+│   └── PasswordResetServiceTest.php
+├── Category/
+│   ├── CategoryControllerTest.php
+│   ├── CategoryRepositoryTest.php
+│   └── CategoryServiceTest.php
+├── Media/
+│   ├── MediaControllerTest.php
+│   ├── MediaRepositoryTest.php
+│   └── MediaServiceTest.php
+├── Post/
+│   ├── PostControllerTest.php
+│   ├── PostRepositoryTest.php
+│   ├── PostServiceTest.php
+│   └── RssControllerTest.php
+├── Shared/
+│   ├── DateParserTest.php
+│   ├── HtmlSanitizerTest.php
+│   ├── SessionManagerTest.php
+│   └── SlugHelperTest.php
+└── User/
+    ├── UserControllerTest.php
+    ├── UserRepositoryTest.php
+    ├── UserServiceTest.php
+    └── UserTest.php
+
+views/
+├── admin/
+│   ├── categories/index.twig
+│   ├── media/index.twig
+│   ├── posts/{form,index}.twig
+│   └── users/{form,index}.twig
+├── emails/password-reset.twig
+├── pages/
+│   ├── account/password-change.twig
+│   ├── auth/{login,password-forgot,password-reset}.twig
+│   ├── post/detail.twig
+│   ├── error.twig
+│   └── home.twig
+├── partials/
+│   ├── _admin_nav.twig
+│   ├── _header.twig
+│   └── _footer.twig
+└── layout.twig
+
+public/
+├── index.php                          # Point d'entrée HTTP
+├── favicon.png
+└── media/index.php                    # Renvoie 403
+```
+
+## CSS
+
+L'architecture **7-1/BEM** sépare trois niveaux de responsabilité :
+
+- **`abstracts/`** — design tokens centralisés. Modifier une variable propage le changement à l'ensemble du projet. Aucune valeur ne doit être codée en dur dans un composant.
+- **`components/`** — composants agnostiques du domaine, réutilisables sans modification dans n'importe quel contexte.
+- **`pages/`** — surcharges contextuelles. Un composant peut s'afficher différemment selon la page sans être modifié.
+
+### Header
+
+| Élément                    | Rôle                                                        |
+|----------------------------|-------------------------------------------------------------|
+| `.site-header`             | Conteneur principal avec bordure basse                      |
+| `.site-header__inner`      | Flex row — logo à gauche, nav à droite                      |
+| `.site-header__logo`       | `<h1>` englobant le titre                                   |
+| `.site-header__logo-link`  | Lien du titre — pas de soulignement, couleur héritée        |
+| `.site-header__nav`        | Flex row des liens de navigation                            |
+| `.site-header__user`       | Nom de l'utilisateur connecté                               |
+| `.site-header__action`     | Élément d'action cliquable (lien ou bouton)                 |
+
+### Boutons
+
+| Classe            | Rôle                                                      |
+|-------------------|-----------------------------------------------------------|
+| `.btn`            | Base — padding, border-radius, display inline-block       |
+| `.btn--primary`   | Fond bleu, texte blanc                                    |
+| `.btn--secondary` | Fond gris, texte blanc                                    |
+| `.btn--danger`    | Fond rouge, texte blanc                                   |
+| `.btn--lg`        | Padding agrandi — formulaires centrés                     |
+| `.btn--full`      | `width: 100%`                                             |
+| `.btn--sm`        | Taille réduite — tableaux admin                           |
+| `.btn-link`       | Bloc autonome stylé comme un lien — déconnexion dans le header |
+
+### Badges
+
+| Classe             | Usage                                    |
+|--------------------|------------------------------------------|
+| `.badge--admin`    | Rôle administrateur (fond jaune)         |
+| `.badge--editor`   | Rôle éditeur (fond bleu clair)           |
+| `.badge--user`     | Rôle utilisateur (texte gris)            |
+| `.badge--category` | Catégorie — cliquable, filtre la liste   |
+
+### Composant carte
+
+`.card` structure visuellement n'importe quelle entité listable sans référence au domaine métier.
+
+| Élément                 | Rôle                                                 |
+|-------------------------|------------------------------------------------------|
+| `.card-list`            | Conteneur de liste                                   |
+| `.card-list--contained` | Fond grisé encadrant les cartes                      |
+| `.card`                 | Carte — fond blanc, border-radius, box-shadow        |
+| `.card__thumb-link`     | Lien englobant la vignette                           |
+| `.card__thumb`          | Vignette image                                       |
+| `.card__initials`       | Vignette fallback (initiales)                        |
+| `.card__content`        | Wrapper flex colonne (corps + actions)               |
+| `.card__body`           | Zone textuelle — contrainte en hauteur (vignette)    |
+| `.card__title`          | Titre                                                |
+| `.card__title-link`     | Lien du titre — pas de soulignement, underline au survol |
+| `.card__meta`           | Métadonnées (date, auteur…)                          |
+| `.card__excerpt`        | Texte court                                          |
+| `.card__actions`        | Zone d'actions — toujours visible hors du clip       |
+
+### Autres composants notables
+
+- `.category-filter` / `__item` / `__item--active` — barre de navigation par catégorie
+- `.category-create` — bloc de création sur `/admin/categories`
+- `.admin-table` — tableau de gestion (`__self` pour l'utilisateur courant, `__muted` pour les actions indisponibles, `__role-select` pour le sélecteur de rôle). En mobile, les lignes s'empilent en blocs via `data-label` sur chaque `<td>`.
+- `.admin-actions` — cellule d'actions en flex row (desktop) / flex column (mobile)
diff --git a/docs/GUIDE.md b/docs/GUIDE.md
new file mode 100644
index 0000000..f468a99
--- /dev/null
+++ b/docs/GUIDE.md
@@ -0,0 +1,1833 @@
+# Slim Blog
+
+**Guide technique pour développeurs**
+
+*Mars 2026*
+
+---
+
+## Table des matières
+
+1. [Présentation du projet](#1-présentation-du-projet)
+   - [1.1 Qu'est-ce que Slim Blog ?](#11-quest-ce-que-slim-blog-)
+   - [1.2 Fonctionnalités](#12-fonctionnalités)
+   - [1.3 Ce que le projet n'est pas](#13-ce-que-le-projet-nest-pas)
+   - [1.4 Interface de l'application](#14-interface-de-lapplication)
+2. [Bases de PHP utiles](#2-bases-de-php-utiles)
+   - [2.1 Fondamentaux du langage](#21-fondamentaux-du-langage)
+     - [2.1.1 PHP côté serveur](#211-php-côté-serveur)
+     - [2.1.2 Variables, types et strict_types](#212-variables-types-et-strict_types)
+     - [2.1.3 Ce qui diffère des autres langages](#213-ce-qui-diffère-des-autres-langages)
+     - [2.1.4 Signatures de fonctions et `void`](#214-signatures-de-fonctions-et-void)
+     - [2.1.5 Tableaux associatifs](#215-tableaux-associatifs)
+     - [2.1.6 Namespaces et autoloading](#216-namespaces-et-autoloading)
+     - [2.1.7 Exceptions et hiérarchie](#217-exceptions-et-hiérarchie)
+   - [2.2 Programmation orientée objet](#22-programmation-orientée-objet)
+     - [2.2.1 Classes et modificateurs PHP](#221-classes-et-modificateurs-php)
+     - [2.2.2 Interfaces](#222-interfaces)
+     - [2.2.3 Injection de dépendances](#223-injection-de-dépendances)
+3. [Choix techniques](#3-choix-techniques)
+   - [3.1 La stack](#31-la-stack)
+   - [3.2 Pourquoi PDO natif plutôt qu'Eloquent ou Doctrine ?](#32-pourquoi-pdo-natif-plutôt-queloquent-ou-doctrine-)
+   - [3.3 Pourquoi SQLite ?](#33-pourquoi-sqlite-)
+4. [Structure des fichiers](#4-structure-des-fichiers)
+   - [4.1 Vue d'ensemble](#41-vue-densemble)
+   - [4.2 Le dossier assets/](#42-le-dossier-assets)
+   - [4.3 Le dossier data/ (production)](#43-le-dossier-data-production)
+   - [4.4 Le dossier database/](#44-le-dossier-database)
+   - [4.5 Le dossier public/](#45-le-dossier-public)
+   - [4.6 Le dossier src/](#46-le-dossier-src)
+   - [4.7 Le dossier tests/](#47-le-dossier-tests)
+   - [4.8 Le dossier views/](#48-le-dossier-views)
+5. [Architecture en domaines](#5-architecture-en-domaines)
+   - [5.1 Principe](#51-principe)
+   - [5.2 Les domaines](#52-les-domaines)
+   - [5.3 Anatomie d'un domaine](#53-anatomie-dun-domaine)
+   - [5.4 Le flux d'une requête](#54-le-flux-dune-requête)
+   - [5.5 Le chemin des données (lecture)](#55-le-chemin-des-données-lecture)
+   - [5.6 Pourquoi les interfaces ?](#56-pourquoi-les-interfaces-)
+   - [5.7 Le Container](#57-le-container)
+   - [5.8 Le domaine Auth](#58-le-domaine-auth)
+   - [5.9 Gestion des erreurs et messages flash](#59-gestion-des-erreurs-et-messages-flash)
+6. [La base de données](#6-la-base-de-données)
+   - [6.1 Schéma](#61-schéma)
+   - [6.2 Migrations](#62-migrations)
+   - [6.3 Sécurité](#63-sécurité)
+7. [Installation et maintenance](#7-installation-et-maintenance)
+   - [7.1 Développement local (sans Docker)](#71-développement-local-sans-docker)
+   - [7.2 Production (Docker)](#72-production-docker)
+   - [7.3 Variables d'environnement clés](#73-variables-denvironnement-clés)
+   - [7.4 Mettre à jour le site](#74-mettre-à-jour-le-site)
+   - [7.5 Logs](#75-logs)
+   - [7.6 Sauvegarde](#76-sauvegarde)
+   - [7.7 Débogage](#77-débogage)
+8. [Faire évoluer le projet](#8-faire-évoluer-le-projet)
+   - [8.1 Backoffice](#81-backoffice)
+     - [8.1.1 Ajouter une fonctionnalité dans un domaine existant](#811-ajouter-une-fonctionnalité-dans-un-domaine-existant)
+     - [8.1.2 Créer un nouveau domaine](#812-créer-un-nouveau-domaine)
+     - [8.1.3 Ajouter un rôle](#813-ajouter-un-rôle)
+     - [8.1.4 Adapter le projet à un autre domaine](#814-adapter-le-projet-à-un-autre-domaine)
+     - [8.1.5 Lancer les tests](#815-lancer-les-tests)
+   - [8.2 Frontend](#82-frontend)
+     - [8.2.1 Modifier un template Twig](#821-modifier-un-template-twig)
+     - [8.2.2 Travailler avec le SCSS](#822-travailler-avec-le-scss)
+9. [Conclusion](#9-conclusion)
+
+---
+
+## 1. Présentation du projet
+
+### 1.1 Qu'est-ce que Slim Blog ?
+
+Slim Blog est une application de blog complète écrite en PHP. Elle permet de publier des articles, de les organiser par catégories, de téléverser des images et de gérer plusieurs comptes avec des niveaux d'accès différents — le tout sans dépendance à un CMS ou à un framework lourd.
+
+Le projet a un double objectif : fonctionner comme un vrai blog, et servir de base d'apprentissage. Chaque partie du code illustre une bonne pratique — organisation par domaines métier, séparation des responsabilités, tests unitaires — sans les surcharger de complexité inutile. On peut le lire pour apprendre, le modifier pour pratiquer, ou s'en servir comme point de départ pour une autre application.
+
+### 1.2 Fonctionnalités
+
+- Articles avec éditeur WYSIWYG, slugs stables et recherche full-text
+- Catégories pour filtrer les articles
+- Médias : téléversement d'images converties en WebP avec déduplication
+- Comptes utilisateurs avec trois rôles : user, editor, admin
+- Réinitialisation de mot de passe par e-mail
+- Flux RSS des 20 derniers articles
+- Protection CSRF sur tous les formulaires
+
+### 1.3 Ce que le projet n'est pas
+
+Slim Blog n'est pas un CMS clé en main. Il n'y a pas de panneau d'installation graphique, pas de système de plugins, pas de marketplace de thèmes. C'est un projet qu'on installe, qu'on lit et qu'on modifie directement dans un éditeur de code.
+
+C'est précisément son intérêt. Le code ne se cache pas derrière des couches d'abstractions : chaque fonctionnalité a un emplacement logique, chaque choix technique a une raison expliquée dans ce guide. Que vous débutiez en PHP ou que vous arriviez d'un autre langage, la structure du projet est conçue pour être lue et comprise progressivement — pas en une seule fois, mais domaine par domaine.
+
+Ce guide accompagne cette progression. Le chapitre 2 pose les bases du langage, les chapitres suivants expliquent les choix d'architecture, et le chapitre 8 montre comment faire évoluer le projet concrètement. L'objectif n'est pas d'impressionner, c'est d'être compréhensible.
+
+**À qui s'adresse ce guide ?** Le lecteur visé sait déjà programmer — en Python, JavaScript, ou dans un autre langage — et est à l'aise avec les concepts fondamentaux : variables, boucles, fonctions, objets. En revanche, il n'a jamais ou peu écrit de PHP. Le chapitre 2 ne réexplique pas ces concepts : il montre comment PHP les traite, en insistant sur les endroits où le langage fait des choix inhabituels ou impose des conventions qui peuvent surprendre.
+
+### 1.4 Interface de l'application
+
+Avant de plonger dans le code, il est utile de savoir ce que l'application fait concrètement. Slim Blog expose deux faces : une partie publique accessible à tous les visiteurs, et une interface d'administration réservée aux comptes connectés.
+
+**Partie publique**
+
+| URL | Ce qu'on y trouve |
+|-----|-------------------|
+| `/` | Liste des articles avec filtre par catégorie et recherche full-text |
+| `/article/{slug}` | Détail d'un article |
+| `/rss.xml` | Flux RSS des 20 derniers articles |
+| `/auth/login` | Formulaire de connexion |
+| `/password/forgot` | Demande de réinitialisation de mot de passe |
+| `/password/reset` | Formulaire de nouveau mot de passe (lien reçu par e-mail) |
+
+**Interface d'administration**
+
+L'accès à `/admin` redirige automatiquement vers `/admin/posts`. Trois niveaux d'accès coexistent :
+
+| Zone | URL | Accès requis |
+|------|-----|--------------|
+| Articles | `/admin/posts` | Tout utilisateur connecté (périmètre selon le rôle) |
+| Médias | `/admin/media` | Tout utilisateur connecté (périmètre selon le rôle) |
+| Catégories | `/admin/categories` | Éditeur ou admin |
+| Utilisateurs | `/admin/users` | Admin uniquement |
+| Mon compte | `/account/password` | Tout utilisateur connecté |
+
+Un utilisateur avec le rôle `user` ne voit que ses propres articles et ses propres médias. Un `editor` et un `admin` voient et gèrent l'ensemble des articles et des médias, et accèdent à la gestion des catégories. Seul l'`admin` peut créer ou supprimer des comptes et modifier le rôle d'un utilisateur existant.
+
+> 💡 Le compte admin initial est créé automatiquement au premier démarrage avec les identifiants définis dans `.env` (`ADMIN_USERNAME`, `ADMIN_EMAIL`, `ADMIN_PASSWORD`). Après l'installation, se connecter sur `/auth/login` avec ces identifiants donne accès à l'interface d'administration. L'URL de base dépend du mode d'installation : `http://localhost:8080` en développement sans Docker (§7.1), `http://localhost:8888` pour vérifier en local après `docker compose up` (§7.2).
+
+
+
+## 2. Bases de PHP utiles
+
+Ce chapitre n'est pas une introduction à la programmation. Il suppose que vous savez déjà ce qu'est une boucle, une fonction ou un objet. Son objectif est plus précis : montrer comment PHP les traite, et signaler les endroits où le langage diverge de ce que vous connaissez peut-être de Python, JavaScript ou d'un autre langage.
+
+La structure reste en deux parties — fondamentaux du langage, puis POO — mais chaque section se concentre sur ce qui est spécifique à PHP plutôt que sur les concepts généraux. Les exemples sont tirés directement du projet.
+
+### 2.1 Fondamentaux du langage
+
+#### 2.1.1 PHP côté serveur
+
+Contrairement à JavaScript qui s'exécute dans le navigateur, PHP s'exécute exclusivement sur le serveur. Le navigateur ne voit jamais le code PHP : il reçoit uniquement le HTML que PHP a produit.
+
+Dans Slim Blog, le seul fichier accessible depuis le web est `public/index.php`. Toutes les requêtes HTTP y arrivent ; Slim lit l'URL, appelle le bon contrôleur, qui demande les données à un service, qui les lit depuis la base SQLite, et renvoie du HTML généré par Twig.
+
+#### 2.1.2 Variables, types et strict_types
+
+PHP est dynamiquement typé par défaut — comme Python ou JavaScript. Mais PHP 8 permet de déclarer les types explicitement, et Slim Blog active `declare(strict_types=1)` dans chaque fichier. Cette directive change le comportement de PHP : sans elle, PHP convertit silencieusement un `string` en `int` si une fonction en attend un ; avec elle, il lève une erreur immédiatement. C'est le même contrat qu'un langage statiquement typé, appliqué à la volée.
+
+```php
+// Les variables commencent par $ — syntaxe propre à PHP
+$title = 'Mon article';
+$id    = 42;
+
+// Type nullable : le préfixe ? signifie "ce type ou null"
+// Équivalent de Optional[int] en Python ou int | null en TypeScript
+?int $authorId = null;
+
+// Signature typée complète — paramètres et valeur de retour
+// Extrait de PostService
+public function createPost(string $title, string $content,
+                           int $authorId, ?int $categoryId = null): int
+```
+
+> 💡 Le `?` devant un type est omniprésent dans le projet : `?int $categoryId` dans PostService, `?string $authorUsername` dans Post. Il indique une valeur qui peut légitimement être absente — pas un oubli.
+
+#### 2.1.3 Ce qui diffère des autres langages
+
+PHP partage les structures de contrôle habituelles (`if`, `foreach`, `while`). Trois points méritent attention car ils surprennent souvent.
+
+**`===` vs `==`** — PHP a deux opérateurs d'égalité. `==` compare les valeurs après conversion de type : `0 == null` est `true`, `0 == false` est `true`, `"1" == 1` est `true`. `===` compare la valeur *et* le type : `0 === null` est `false`. Slim Blog utilise toujours `===` pour éviter ces surprises.
+
+**`??` (null coalescent)** — retourne l'opérande de gauche s'il n'est pas `null`, sinon celui de droite. C'est l'équivalent de `or` en Python pour les valeurs nulles, ou de `??` en C# et TypeScript.
+
+```php
+// Extrait de Post::fromArray()
+$title = (string) ($data['title'] ?? '');
+
+// Extrait du constructeur de Post
+$this->createdAt = $createdAt ?? new DateTime();
+```
+
+**`foreach` avec clé** — PHP permet de récupérer la clé et la valeur en même temps, avec la syntaxe `as $clé => $valeur`. C'est l'équivalent de `.items()` en Python ou de `Object.entries()` en JavaScript.
+
+```php
+// Extrait de RssController
+foreach ($posts as $post) {
+    $item = $channel->addChild('item');
+    $item->addChild('title', htmlspecialchars($post->getTitle()));
+    $item->addChild('link', $baseUrl . '/article/' . $post->getStoredSlug());
+}
+
+// Avec clé — équivalent de for k, v in dict.items(): en Python
+foreach ($scores as $nom => $points) {
+    echo "$nom : $points pts\n";
+}
+```
+
+La boucle `while` fonctionne comme dans tous les langages. Le projet l'utilise notamment dans `PostService::generateUniqueSlug()` pour tester des variantes jusqu'à trouver un slug libre :
+
+```php
+$slug = $baseSlug;
+$counter = 1;
+while ($this->postRepository->slugExists($slug, $excludeId)) {
+    $slug = $baseSlug . '-' . $counter;
+    ++$counter;
+}
+return $slug; // ex: "mon-article-3" si les deux premiers étaient pris
+```
+
+#### 2.1.4 Signatures de fonctions et `void`
+
+La syntaxe des fonctions PHP 8 est proche de TypeScript : on déclare le type de chaque paramètre et le type de retour après `:`. Ce qui peut surprendre est le type `void` — une fonction qui ne retourne rien le déclare explicitement, plutôt que de simplement omettre le `return`.
+
+```php
+// $categoryId est optionnel — sa valeur par défaut est null
+public function getAllPosts(?int $categoryId = null): array
+{
+    return $this->postRepository->findAll($categoryId);
+}
+
+// void : cette méthode ne retourne rien
+// PHPStan vérifiera qu'elle ne contient pas de "return $valeur" accidentel
+public function deletePost(int $id): void
+{
+    $affected = $this->postRepository->delete($id);
+    if ($affected === 0) {
+        throw new NotFoundException('Article', $id);
+    }
+}
+```
+
+Les fonctions libres (hors classe) sont rares dans le projet. La quasi-totalité du code est organisée en méthodes de classe — ce que la section 2.2 explique.
+
+#### 2.1.5 Tableaux associatifs
+
+En PHP, un tableau peut être indexé (clés numériques) ou associatif (clés textuelles). C'est la même structure — l'équivalent d'un `dict` Python ou d'un objet littéral JavaScript. La syntaxe est `['clé' => valeur]`.
+
+C'est la structure que PDO utilise pour toutes les lectures en base : chaque ligne retournée via `FETCH_ASSOC` est un tableau associatif, et chaque `INSERT` se construit avec un tableau associatif passé à `execute()`.
+
+```php
+// Extrait de PostRepository::create()
+$stmt = $this->db->prepare('
+    INSERT INTO posts (title, content, slug, author_id, category_id, created_at, updated_at)
+    VALUES (:title, :content, :slug, :author_id, :category_id, :created_at, :updated_at)
+');
+$stmt->execute([
+    ':title'       => $post->getTitle(),
+    ':content'     => $post->getContent(),
+    ':slug'        => $slug,
+    ':author_id'   => $authorId,
+    ':category_id' => $categoryId,
+    'created_at'  => date('Y-m-d H:i:s'),
+    'updated_at'  => date('Y-m-d H:i:s'),
+]);
+
+// isset() vérifie qu'une clé existe ET n'est pas null
+// Extrait de Post::fromArray()
+$authorId = isset($data['author_id']) ? (int) $data['author_id'] : null;
+```
+
+> 💡 `null` et `''` sont deux valeurs distinctes. Dans `Post`, `$authorUsername` à `null` signifie que l'auteur a supprimé son compte ; une chaîne vide signifierait un auteur avec un nom vide. Cette distinction évite des comportements imprévus à l'affichage.
+
+#### 2.1.6 Namespaces et autoloading
+
+Les namespaces organisent les classes pour éviter les conflits de noms — l'équivalent des modules en Python ou des imports ES en JavaScript. Composer gère l'autoloading : il charge automatiquement le fichier correspondant à un namespace, sans `require` manuel.
+
+```php
+// Début de chaque fichier du projet
+namespace App\Post; // correspond au dossier src/Post/
+
+// On importe une classe d'un autre namespace avec 'use'
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Html\HtmlSanitizerInterface;
+
+// Après le 'use', on utilise le nom court
+throw new NotFoundException('Article', $slug);
+
+// Sans "use", il faudrait écrire le chemin complet à chaque fois :
+// throw new \App\Shared\Exception\NotFoundException(...)
+```
+
+> 💡 La correspondance namespace ↔ dossier est déclarée dans `composer.json` (`App\\` => `src/`). Composer génère une carte de tous les fichiers au moment de l'installation ; PHP charge le bon fichier automatiquement à la première utilisation d'une classe.
+
+#### 2.1.7 Exceptions et hiérarchie
+
+PHP utilise les exceptions comme tous les langages modernes. Ce qui est spécifique au projet, c'est la hiérarchie choisie : Slim Blog distingue deux familles d'exceptions selon leur nature.
+
+`NotFoundException` hérite de `\RuntimeException` — c'est une erreur d'infrastructure (une ressource est absente). Slim l'intercepte et renvoie une réponse HTTP 404.
+
+Les exceptions du domaine Auth (`DuplicateUsernameException`, `DuplicateEmailException`, `WeakPasswordException`) héritent de `\InvalidArgumentException` — ce sont des erreurs métier (une règle de gestion n'est pas respectée). Elles sont attrapées dans les contrôleurs et converties en messages flash.
+
+```php
+// src/Shared/Exception/NotFoundException.php
+final class NotFoundException extends \RuntimeException
+{
+    public function __construct(string $entity, int|string $identifier)
+    {
+        parent::__construct("{$entity} introuvable : {$identifier}");
+    }
+}
+
+// Utilisation dans PostService
+$post = $this->postRepository->findById($id);
+if ($post === null) {
+    throw new NotFoundException('Article', $id); // → HTTP 404
+}
+```
+
+Cette distinction a une conséquence concrète dans les contrôleurs : un seul `catch (\InvalidArgumentException $e)` suffit pour attraper toutes les exceptions métier du domaine Auth, car elles partagent le même ancêtre. Le chapitre 5.9 détaille ce mécanisme.
+
+### 2.2 Programmation orientée objet
+
+PHP supporte pleinement la POO. Ce qui peut surprendre venant d'autres langages, ce sont les modificateurs propres à PHP — notamment `final`, `readonly`, et la distinction `self::` / `$this->`.
+
+#### 2.2.1 Classes et modificateurs PHP
+
+Dans Slim Blog, chaque domaine a un modèle immuable : `Post`, `User`, `Category`, `Media`. L'immutabilité est garantie par le mot-clé `readonly` sur les propriétés du constructeur — une fois l'objet créé, aucune propriété ne peut être réassignée.
+
+```php
+// Extrait simplifié de src/User/User.php
+final class User
+{
+    public const ROLE_USER   = 'user';
+    public const ROLE_EDITOR = 'editor';
+    public const ROLE_ADMIN  = 'admin';
+
+    // "readonly" : la propriété ne peut être écrite qu'une fois, dans le constructeur
+    // "private" : elle n'est accessible que depuis l'intérieur de la classe
+    public function __construct(
+        private readonly int $id,
+        private readonly string $username,
+        private readonly string $email,
+        private readonly string $passwordHash,
+        private readonly string $role = self::ROLE_USER,
+        ?DateTime $createdAt = null,
+    ) {}
+
+    public function getUsername(): string { return $this->username; }
+
+    public function isAdmin(): bool { return $this->role === self::ROLE_ADMIN; }
+}
+```
+
+Quatre modificateurs à retenir :
+
+- `final` — la classe ne peut pas être étendue par héritage. Tous les modèles et services de Slim Blog sont `final` : cela ferme la porte à des comportements imprévus introduits par une sous-classe.
+- `readonly` — la propriété est en lecture seule après le constructeur. C'est l'équivalent d'un attribut `frozen` en Python ou d'une propriété `const` en C++.
+- `self::` — référence la classe elle-même (pour les constantes et méthodes statiques). `$this->` référence l'instance courante.
+- `private` / `public` — contrôle d'accès habituel. `protected` existe aussi mais est absent du projet (les classes `final` n'ont pas de sous-classes à qui exposer des membres protégés).
+
+> 💡 La méthode statique `fromArray()` présente dans `Post` et `User` est un *named constructor* : elle construit un objet depuis un tableau associatif (une ligne de base de données). On l'appelle sur la classe, pas sur une instance : `Post::fromArray($row)`.
+
+#### 2.2.2 Interfaces
+
+Une interface définit un contrat : elle liste des méthodes sans les implémenter. Toute classe déclarée avec `implements` doit fournir chacune de ces méthodes — c'est vérifié à la compilation par PHP et par PHPStan.
+
+```php
+// Extrait de src/Post/PostRepositoryInterface.php
+interface PostRepositoryInterface
+{
+    public function findBySlug(string $slug): ?Post;
+    public function findById(int $id): ?Post;
+    public function create(Post $post, string $slug, int $authorId, ?int $categoryId): int;
+    public function delete(int $id): int;
+    // ... autres méthodes
+}
+
+// PostRepository implémente ce contrat avec PDO + SQLite
+final class PostRepository implements PostRepositoryInterface
+{
+    public function findBySlug(string $slug): ?Post
+    {
+        $stmt = $this->db->prepare(
+            'SELECT posts.*, users.username AS author_username
+             FROM posts
+             LEFT JOIN users ON users.id = posts.author_id
+             WHERE posts.slug = :slug'
+        );
+        $stmt->execute([':slug' => $slug]);
+        $row = $stmt->fetch(\PDO::FETCH_ASSOC);
+        return $row ? Post::fromArray($row) : null;
+    }
+    // ...
+}
+```
+
+Dans Slim Blog, chaque repository a son interface. Cela apporte deux bénéfices concrets :
+
+- **Tests unitaires** — dans les tests, on remplace le repository réel par un mock qui ne touche pas la base de données. Le service est testé en isolation complète.
+- **Interchangeabilité** — passer de SQLite à PostgreSQL ne nécessite qu'une nouvelle implémentation de l'interface. `PostService` ne change pas d'une ligne.
+
+`PostService` déclare `PostRepositoryInterface $postRepository` dans son constructeur, jamais `PostRepository` directement. Dépendre des abstractions plutôt que des implémentations rend le code testable et évolutif.
+
+#### 2.2.3 Injection de dépendances
+
+Plutôt que de créer ses dépendances soi-même, une classe les reçoit via son constructeur. C'est l'injection de dépendances (Dependency Injection).
+
+```php
+// ❌ Couplage fort — PostService crée lui-même ses dépendances
+// Impossible à tester : on ne peut pas substituer un faux repository.
+class PostService {
+    public function __construct() {
+        $this->repo = new PostRepository();
+    }
+}
+
+// ✅ Injection — les dépendances sont fournies de l'extérieur
+// Extrait réel de src/Post/PostService.php
+final class PostService
+{
+    public function __construct(
+        private readonly PostRepositoryInterface $postRepository,
+        private readonly HtmlSanitizerInterface $htmlSanitizer,
+    ) {}
+}
+```
+
+Qui assemble les dépendances ? PHP-DI dans `config/container.php`. Il résout automatiquement les dépendances par *autowiring* — en lisant les types déclarés dans les constructeurs — et ne nécessite une configuration explicite que pour les bindings interface → classe concrète et les dépendances scalaires (chemins, paramètres `.env`).
+
+```php
+// Extrait de config/container.php
+// Binding interface → implémentation : PHP-DI injecte PostRepository partout où
+// PostRepositoryInterface est demandé. PostService lui-même est résolu par autowiring.
+PostRepositoryInterface::class => autowire(PostRepository::class),
+PostServiceInterface::class    => autowire(PostService::class),
+```
+
+> 💡 Pour ajouter un nouveau service : créer la classe avec ses dépendances typées en constructeur, puis déclarer le binding interface → classe dans `config/container.php`. Si toutes les dépendances sont elles-mêmes typées sur des interfaces déjà liées, PHP-DI résout tout automatiquement — aucune factory à écrire.
+
+---
+
+## 3. Choix techniques
+
+### 3.1 La stack
+
+Chaque outil a été choisi pour une raison précise.
+
+| Rôle | Outil | Pourquoi ce choix |
+|------|-------|-------------------|
+| Framework HTTP | Slim 4 | Micro-framework minimaliste : ne fait que le routage et la gestion des requêtes/réponses. Pas de magie cachée. |
+| Base de données | SQLite + PDO natif | SQLite est un fichier, zéro configuration serveur. PDO natif donne un accès SQL direct, typé et sans dépendance supplémentaire. |
+| Templates | Twig | Séparation nette entre logique PHP et présentation HTML. Héritage de gabarits, syntaxe lisible. |
+| CSS | Sass (7-1/BEM) | Sources organisées en couches (base, composants, pages). BEM évite les conflits de nommage. |
+| Éditeur WYSIWYG | Trumbowyg | Éditeur HTML léger, intégré facilement, sortie HTML sanitisée côté serveur. |
+| E-mails | PHPMailer | Bibliothèque mature pour l'envoi SMTP avec support TLS/SSL. |
+| Logging | Monolog | Standard de facto en PHP, écriture dans des fichiers rotatifs. |
+| Sanitisation HTML | HTMLPurifier | Nettoie le HTML saisi par les utilisateurs pour éliminer les XSS. |
+| Protection CSRF | Slim CSRF | Génère et valide des tokens sur tous les formulaires POST. |
+| Injection de dépendances | PHP-DI | Résolution automatique des dépendances par autowiring. |
+| Analyse statique | PHPStan niveau 8 | Détecte les erreurs de typage avant l'exécution. Niveau 8 sur 9, le plus utilisé en production. |
+
+### 3.2 Pourquoi PDO natif plutôt qu'Eloquent ou Doctrine ?
+
+Les deux repères les plus courants pour l'accès à la base de données en PHP au-dessus de PDO : un Active Record comme Eloquent (Laravel), ou un ORM complet comme Doctrine. Le projet utilise PDO directement, sans surcouche.
+
+#### PDO vs Eloquent (Active Record)
+
+Eloquent est l'ORM de Laravel. Son modèle Active Record est séduisant — les relations s'écrivent en quelques lignes — mais il introduit un couplage fort : chaque modèle étend une classe de base, et les propriétés sont dynamiques (elles n'existent que lors de l'exécution).
+
+```php
+// Eloquent : le modèle hérite de Model et déclare ses relations
+class Post extends Model {
+    protected $table = 'posts';
+    protected $guarded = [];
+    public function author() {
+        return $this->belongsTo(User::class, 'author_id');
+    }
+}
+
+// Accès via propriété magique — pratique, mais invisible pour PHPStan
+$posts = Post::with('author')->latest()->limit(10)->get();
+echo $posts[0]->author->username; // $author n'a aucun type déclaré
+```
+
+Deux problèmes concrets pour ce projet. D'abord, les propriétés dynamiques rendent l'analyse statique (PHPStan niveau 8) inefficace : `$post->author->username` est invisible au typage. Ensuite, étendre `Model` couple chaque entité à Laravel — la classe `Post` ne peut plus être testée sans bootstrapper le framework.
+
+Dans Slim Blog, les modèles (`Post`, `User`…) sont des classes `final readonly` sans héritage. Tous les champs sont déclarés et typés — PHPStan les vérifie entièrement.
+
+#### PDO vs Doctrine (ORM complet)
+
+Doctrine est l'ORM le plus complet de l'écosystème PHP. Récupérer les 10 articles les plus récents avec leur auteur nécessite de définir des entités annotées, un EntityManager et des relations ManyToOne — puis d'écrire une requête DQL ou un QueryBuilder. Avec PDO, la requête SQL est écrite directement et reste lisible et débogable :
+
+```php
+$stmt = $this->db->prepare(self::SELECT . ' ORDER BY posts.id DESC LIMIT :limit');
+$stmt->bindValue(':limit', 10, PDO::PARAM_INT);
+$stmt->execute();
+$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+```
+
+Le SQL est prévisible et exécutable directement dans un client SQLite. Doctrine apporte une richesse justifiée sur de grands projets d'équipe (lazy loading, unit of work, cache de second niveau) — mais cette richesse a un coût en configuration et en courbe d'apprentissage disproportionné pour un projet de cette taille.
+
+> 💡 PDO natif est pertinent quand le SQL est maîtrisé, que le projet n'a pas besoin de lazy loading ni de cache de second niveau, et que la lisibilité du code prime sur la magie. Dès qu'un projet grossit en équipe ou en complexité de domaine, migrer vers Doctrine redevient raisonnable — le pattern Repository de Slim Blog le rend possible sans toucher au code métier.
+
+### 3.3 Pourquoi SQLite ?
+
+En développement comme en production (petit trafic), SQLite suffit largement. Pas besoin d'installer et configurer MySQL ou PostgreSQL. La base entière est un seul fichier, facilement sauvegardé et transporté.
+
+---
+
+## 4. Structure des fichiers
+
+### 4.1 Vue d'ensemble
+
+```
+slim-blog/
+├── .dockerignore             ← Fichiers exclus des images Docker
+├── .env                      ← Variables d'environnement (non versionné)
+├── .env.example              ← Modèle de configuration
+├── .gitignore                ← Fichiers exclus du dépôt Git
+├── assets/                   ← Sources SCSS
+├── composer.json             ← Dépendances PHP
+├── composer.lock             ← Versions exactes verrouillées (PHP)
+├── CONTRIBUTING.md           ← Guide de contribution
+├── database/                 ← Migrations SQL
+├── docker-compose.yml        ← Orchestration des conteneurs
+├── docker/                   ← Configuration Nginx et PHP
+├── docs/                     ← Documentation
+├── package-lock.json         ← Versions exactes verrouillées (JS)
+├── package.json              ← Dépendances JS (Sass)
+├── phpstan.neon              ← Configuration de l'analyse statique
+├── phpunit.xml               ← Configuration des tests
+├── public/                   ← Point d'entrée web (index.php)
+├── README.md                 ← Documentation principale
+├── src/                      ← Code PHP (domaines)
+├── tests/                    ← Tests unitaires PHPUnit
+└── views/                    ← Templates Twig
+```
+
+### 4.2 Le dossier assets/
+
+Contient les sources SCSS (Sass). Ce dossier n'est jamais servi directement par le serveur web ; il est compilé en CSS par la commande `npm run build`, et le résultat est écrit dans `public/assets/css/`.
+
+```
+assets/                       ← sources SCSS (non servi directement)
+└── scss/                     ← point d'entrée et partiels
+    ├── abstracts/            ← variables et mixins (aucun CSS généré)
+    │   ├── _mixins.scss      ← mixin responsive (@include mobile)
+    │   └── _variables.scss   ← couleurs, espacements, breakpoints
+    ├── base/                 ← reset et typographie globale
+    ├── components/           ← éléments réutilisables (boutons, cartes…)
+    ├── layout/               ← zones structurelles (header, footer)
+    ├── main.scss             ← point d'entrée unique, importe tout
+    └── pages/                ← surcharges spécifiques à chaque vue
+```
+
+> 💡 Les fichiers SCSS sont compilés en un seul fichier `public/assets/css/main.css`. Le navigateur ne charge que ce fichier CSS final. Pour modifier le style, on édite les fichiers dans `assets/scss/`, puis on relance `npm run build` (ou `npm run watch` pour recompiler automatiquement à chaque sauvegarde).
+
+### 4.3 Le dossier data/ (production)
+
+Créé automatiquement par Docker au premier démarrage, il contient tout ce qui persiste entre les redéploiements.
+
+```
+data/
+├── database/          ← Fichier SQLite (app.sqlite)
+├── public/media/      ← Images téléversées
+└── var/               ← Cache Twig/HTMLPurifier, logs
+```
+
+### 4.4 Le dossier database/
+
+Contient les migrations SQL qui construisent le schéma de la base de données. Chaque migration est un fichier PHP numéroté qui retourne un tableau avec deux clés : `up` (appliquer) et `down` (annuler).
+
+```
+database/                ← migrations SQL, une par table
+└── migrations/          ← exécutées dans l'ordre alphanumérique
+    ├── 001_create_users.php
+    ├── 002_create_categories.php
+    ├── 003_create_posts.php
+    ├── 004_create_media.php
+    ├── 005_create_password_resets.php
+    ├── 006_create_posts_fts.php
+    └── 007_create_login_attempts.php
+```
+
+Chaque fichier retourne un tableau associatif avec les requêtes SQL. Voici la migration qui crée la table `users` :
+
+```php
+// database/migrations/001_create_users.php
+return [
+    'up' => "
+        CREATE TABLE IF NOT EXISTS users (
+            id            INTEGER PRIMARY KEY AUTOINCREMENT,
+            username      TEXT UNIQUE NOT NULL,
+            email         TEXT UNIQUE NOT NULL,
+            password_hash TEXT NOT NULL,
+            role          TEXT NOT NULL DEFAULT 'user',
+            created_at    DATETIME DEFAULT CURRENT_TIMESTAMP
+        )
+    ",
+    'down' => 'DROP TABLE IF EXISTS users',
+];
+```
+
+> 💡 Le Migrator dans `src/Shared/Database/Migrator.php` parcourt ce dossier au démarrage, compare les versions déjà appliquées (stockées dans une table `migrations`) et exécute uniquement les nouvelles. Pour ajouter une table, il suffit de créer un fichier `008_*.php` avec la même structure.
+
+### 4.5 Le dossier public/
+
+`public/index.php` est le point d'entrée unique de l'application (ou *front controller*). Toutes les requêtes HTTP y arrivent, et c'est lui qui démarre l'application via Bootstrap.
+
+`public/media/index.php` est le seul autre fichier PHP dans ce dossier. Il retourne systématiquement 403 et constitue une deuxième ligne de défense contre l'exécution de code PHP dans le répertoire des uploads (la première étant la règle Nginx `location ~* /media/.*\.php$`).
+
+> 💡 Le serveur web (Nginx) est configuré pour rediriger toutes les URL vers `index.php`. Le routeur Slim analyse ensuite l'URL pour appeler le bon contrôleur.
+
+### 4.6 Le dossier src/
+
+C'est le cœur de l'application. Il est organisé par domaines métier, chacun dans son propre dossier.
+
+```
+src/
+├── Auth/              ← Authentification, sessions, réinitialisation de mot de passe
+│   └── Middleware/    ← Middlewares de contrôle d'accès (Auth, Editor, Admin)
+├── Category/          ← Catégories d'articles
+├── Media/             ← Téléversement et gestion des images
+├── Post/              ← Articles du blog
+├── User/              ← Modèle utilisateur, persistance, gestion des comptes
+└── Shared/            ← Infrastructure commune
+    ├── Bootstrap.php  ← Démarrage de l'application
+    ├── Config.php     ← Chemins (SQLite, cache Twig)
+    ├── Database/      ← Migrations
+    ├── Extension/     ← Extensions Twig
+    ├── Exception/     ← Exceptions métier (NotFoundException…)
+    ├── Html/          ← Sanitisation HTML
+    │   ├── HtmlPurifierFactory.php
+    │   ├── HtmlSanitizer.php
+    │   └── HtmlSanitizerInterface.php
+    ├── Http/          ← Session et messages flash
+    ├── Mail/          ← Envoi d'e-mails
+    ├── Routes.php     ← Déclaration des routes
+    └── Util/          ← Utilitaires partagés (SlugHelper, DateParser)
+```
+
+### 4.7 Le dossier tests/
+
+Contient les tests unitaires PHPUnit. La structure reproduit celle de `src/` : chaque classe testée a son fichier de test correspondant.
+
+```
+tests/
+├── ControllerTestCase.php                ← Classe de base abstraite (helpers PSR-7, assertions HTTP)
+│                                            Partagée par les 8 suites de contrôleurs
+├── Auth/                                 ← tests du domaine Auth
+│   ├── AccountControllerTest.php         ← changement de mot de passe (8 tests)
+│   ├── AuthControllerTest.php            ← connexion / déconnexion (8 tests)
+│   ├── AuthServiceRateLimitTest.php
+│   ├── AuthServiceTest.php
+│   ├── LoginAttemptRepositoryTest.php
+│   ├── PasswordResetControllerTest.php   ← flux reset mot de passe (18 tests)
+│   ├── PasswordResetRepositoryTest.php
+│   └── PasswordResetServiceTest.php
+├── Category/                             ← tests du domaine Category
+│   ├── CategoryControllerTest.php        ← CRUD catégories (8 tests)
+│   ├── CategoryRepositoryTest.php
+│   └── CategoryServiceTest.php
+├── Media/                                ← tests du domaine Media
+│   ├── MediaControllerTest.php           ← upload, suppression, droits (13 tests)
+│   ├── MediaRepositoryTest.php
+│   └── MediaServiceTest.php
+├── Post/                                 ← tests du domaine Post
+│   ├── PostControllerTest.php            ← CRUD articles, droits, 404 (22 tests)
+│   ├── PostRepositoryTest.php
+│   ├── PostServiceTest.php
+│   └── RssControllerTest.php             ← flux RSS (9 tests)
+├── Shared/                               ← tests de l'infrastructure commune
+│   ├── DateParserTest.php
+│   ├── HtmlSanitizerTest.php
+│   ├── SessionManagerTest.php
+│   └── SlugHelperTest.php
+└── User/                                 ← tests du domaine User
+    ├── UserControllerTest.php            ← gestion utilisateurs, rôles (18 tests)
+    ├── UserRepositoryTest.php
+    ├── UserServiceTest.php
+    └── UserTest.php
+```
+
+Chaque fichier de test contient une classe qui hérite de `PHPUnit\Framework\TestCase`. Les dépendances extérieures (base de données, session) sont remplacées par des mocks : des objets factices qui simulent le comportement réel sans effets de bord.
+
+```php
+// Extrait de tests/User/UserTest.php
+// Chaque méthode de test commence par "test" et vérifie un comportement précis.
+final class UserTest extends TestCase
+{
+    public function testValidConstruction(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com',
+            password_hash('secret123', PASSWORD_BCRYPT));
+
+        // assertSame vérifie valeur + type (équivalent de ===)
+        $this->assertSame('alice', $user->getUsername());
+        $this->assertSame(User::ROLE_USER, $user->getRole());
+    }
+}
+
+// Lancer tous les tests :
+vendor/bin/phpunit
+```
+
+L'exemple ci-dessus teste le modèle `User` sans dépendances extérieures. Pour tester un service qui dépend d'un repository, on remplace le repository réel par un mock : un objet simulé qui répond à la place de la vraie base de données.
+
+```php
+// Extrait de tests/User/UserServiceTest.php
+// setUp() est appelé avant chaque test — les mocks sont recréés proprement.
+protected function setUp(): void
+{
+    $this->userRepository = $this->createMock(UserRepositoryInterface::class);
+
+    // Le service reçoit le faux objet — il ne sait pas que c'est un mock.
+    $this->service = new UserService($this->userRepository);
+}
+
+public function testCreateUserWithValidData(): void
+{
+    // On programme le mock : findByUsername() retournera null (pas de doublon).
+    $this->userRepository->method('findByUsername')->willReturn(null);
+    $this->userRepository->method('findByEmail')->willReturn(null);
+
+    $user = $this->service->createUser('Alice', 'alice@example.com', 'motdepasse1');
+    $this->assertSame('alice', $user->getUsername()); // normalisé en minuscules
+}
+```
+
+> 💡 Lancer les tests avant toute modification importante est une bonne habitude. Une suite verte confirme que le comportement existant est préservé. Pour lancer uniquement les tests d'un domaine : `vendor/bin/phpunit tests/User/`
+
+### 4.8 Le dossier views/
+
+Contient les templates Twig organisés par contexte.
+
+```
+views/
+├── admin/                 ← Interface d'administration
+├── emails/                ← Templates d'e-mails
+├── layout.twig            ← Structure HTML commune
+├── pages/                 ← Pages publiques
+|   ├── account/           ← Changement de mot de passe
+|   ├── auth/              ← Connexion, mot de passe oublié/réinitialisation
+|   └── post/              ← Détail d'un article
+└── partials/              ← Fragments réutilisables (header, footer)
+```
+
+---
+
+## 5. Architecture en domaines
+
+Les concepts de la section 2 ne sont pas théoriques : ils s'assemblent tous dans chaque domaine du projet. Les interfaces (§2.2.2) permettent les tests unitaires. Les classes readonly (§2.2.1) garantissent l'immuabilité des modèles. L'injection de dépendances (§2.2.3) permet au container d'assembler les pièces. Les exceptions métier (§2.1.7) remplacent les retours null silencieux. La suite de ce chapitre montre comment ces briques s'articulent dans une architecture complète.
+
+### 5.1 Principe
+
+Le code est découpé par domaine métier, pas par type technique. On ne regroupe pas tous les contrôleurs dans un dossier `controllers/`, tous les modèles dans `models/`, etc. Chaque domaine est un dossier autonome qui contient tout ce qui le concerne.
+
+Avantage : pour comprendre ou modifier la gestion des catégories, on ouvre `Category/` et on trouve tout. Pas besoin de naviguer entre plusieurs dossiers éparpillés.
+
+### 5.2 Les domaines
+
+| Domaine | Réutilisable ? | Contenu |
+|---------|---------------|---------|
+| Auth/ | Oui | Sessions, authentification, réinitialisation de mot de passe par e-mail, protection anti-brute-force |
+| Category/ | Oui | CRD de catégories (pas d'édition). Seul le nom de la table est à adapter pour un autre usage. |
+| Media/ | Oui | Téléversement, déduplication SHA-256, conversion WebP |
+| User/ | Oui | Modèle utilisateur, persistance, création, modification de rôle et suppression de comptes |
+| Shared/ | Oui | Infrastructure complète : routes, session, e-mails, logs, utilitaires |
+| Post/ | Non | Spécifique au blog. À remplacer par Product/ pour une boutique |
+
+### 5.3 Anatomie d'un domaine
+
+Le domaine `Post/` illustre l'anatomie complète.
+
+| Fichier | Rôle |
+|---------|------|
+| Post.php | Modèle immuable. Représente un article avec ses données. |
+| PostRepositoryInterface.php | Contrat : liste les méthodes de persistance sans les implémenter. |
+| PostRepository.php | Implémentation PDO : requêtes SQL réelles. |
+| PostService.php | Logique métier : création d'un slug, validation, appel du repository. |
+| PostController.php | Actions HTTP : reçoit une requête, appelle le service, renvoie une réponse. |
+| PostExtension.php | Extension Twig du domaine Post. Expose `post_excerpt`, `post_url`, `post_thumbnail`, `post_initials` dans les templates. |
+| RssController.php | Contrôleur dédié au flux RSS 2.0 (/rss.xml), distinct du PostController. |
+
+Ce qui ne se voit pas dans ce tableau, c'est la direction des dépendances : `PostController` connaît `PostService`, mais `PostService` ne connaît que `PostRepositoryInterface` — jamais `PostRepository` directement. `PostRepository`, lui, ne connaît rien d'autre que PDO.
+
+```
+PostController
+    ↓ dépend de
+PostService
+    ↓ dépend de
+PostRepositoryInterface   ← implémente — PostRepository
+                                               ↓ dépend de
+                                             PDO (SQLite)
+```
+
+> 💡 Règle : chaque couche ne connaît que la couche immédiatement en dessous, via son interface. `PostController` dépend de `PostServiceInterface` ; `PostService` dépend de `PostRepositoryInterface` : c'est à ce niveau que l'isolation est garantie, ce qui rend les tests unitaires possibles sans base de données.
+
+### 5.4 Le flux d'une requête
+
+Voici ce qui se passe quand un utilisateur soumet le formulaire de création d'article (`/admin/posts/create`) :
+
+```
+Navigateur
+│ POST /admin/posts/create
+▼
+Nginx (prod) / php -S (dev)
+│ transmet la requête à PHP-FPM (ou traite directement)
+▼
+public/index.php → Bootstrap
+│ initialise l'app, le container, les middlewares
+▼
+Routeur Slim
+│ résout l'URL → PostController::create()
+│ applique AuthMiddleware (vérifie la session)
+▼
+PostController::create()
+│ extrait et valide les données POST
+▼
+PostService::createPost()
+│ sanitise le HTML (HTMLPurifier)
+│ génère un slug unique
+▼
+PostRepository::create()
+│ INSERT en base SQLite via PDO
+▼
+PostController → HTTP 302 → /admin/posts
+```
+
+### 5.5 Le chemin des données (lecture)
+
+Le flux ci-dessus décrit l'écriture. Voici le chemin inverse lors d'une lecture : comment une ligne SQLite devient un objet `Post` affiché dans Twig.
+
+**1. PDO lit la base et retourne un tableau brut**
+
+```php
+// PDOStatement::fetch(PDO::FETCH_ASSOC) — résultat brut depuis SQLite
+['id' => 12, 'title' => 'Mon article', 'author_username' => 'alice', ...]
+```
+
+**2. Le repository construit un objet typé via le named constructor**
+
+```php
+// Post::fromArray($row) — propriétés readonly, l'objet ne peut plus être modifié
+Post { id: 12, title: "Mon article", authorUsername: "alice", ... }
+```
+
+**3. Le contrôleur passe les objets à Twig**
+
+```php
+$this->view->render($res, 'pages/home.twig', ['posts' => $posts, ...]);
+```
+
+**4. Twig accède aux propriétés via les getters**
+
+```twig
+{{ post.title }}  {# appelle $post->getTitle() #}
+{{ post.authorUsername ?? 'inconnu' }}
+```
+
+> 💡 Les concepts de la section 2 s'emboîtent ici : le tableau associatif (§2.1.5) est transformé par un *named constructor* (§2.2.1) en objet readonly (§2.2.1), retourné via l'interface (§2.2.2) injectée dans le service (§2.2.3).
+
+### 5.6 Pourquoi les interfaces ?
+
+Les services dépendent des interfaces, jamais des classes concrètes. Cela apporte deux bénéfices concrets.
+
+- **Tests unitaires** : dans les tests, on remplace le repository réel par un mock qui ne touche pas la base de données. Le service est testé en isolation.
+- **Interchangeabilité** : si demain on veut utiliser PostgreSQL au lieu de SQLite, on crée une nouvelle implémentation de l'interface. Le reste du code ne change pas.
+
+### 5.7 Le Container
+
+`config/container.php` est le fichier de configuration de **PHP-DI**, le conteneur d'injection de dépendances du projet. Il déclare deux types d'entrées.
+
+**Bindings interface → implémentation** — indiquent à PHP-DI quelle classe concrète utiliser quand une interface est demandée :
+
+```php
+// config/container.php
+PostRepositoryInterface::class => autowire(PostRepository::class),
+PostServiceInterface::class    => autowire(PostService::class),
+```
+
+**Factories scalaires** — pour les dépendances qui ont besoin de paramètres issus de `.env` ou du système de fichiers (PDO, Twig, Monolog) :
+
+```php
+PDO::class => factory(function (): PDO {
+    return new PDO('sqlite:' . Config::getDatabasePath(), options: [
+        PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
+        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+    ]);
+}),
+```
+
+Tout le reste est résolu par **autowiring** : PHP-DI lit les types des paramètres de constructeur et les injecte automatiquement, sans configuration supplémentaire. On n'instancie jamais les objets directement dans les contrôleurs — tout passe par le container.
+
+### 5.8 Le domaine Auth
+
+Le domaine Auth est le plus complet du projet. Il regroupe la connexion, la réinitialisation de mot de passe par e-mail, la gestion des sessions et la protection anti-brute-force. C'est un bon point de lecture après `Post/`.
+
+Il contient treize fichiers PHP dans `src/Auth/` :
+
+```
+-- Services --
+AuthService.php                   — connexion, sessions, vérification des rôles
+AuthServiceInterface.php          — contrat du service d'authentification
+PasswordResetService.php          — génération du token, envoi e-mail, validation
+PasswordResetRepositoryInterface.php
+PasswordResetRepository.php       — persistance des tokens de réinitialisation
+LoginAttemptRepositoryInterface.php
+LoginAttemptRepository.php        — persistance des tentatives par IP
+
+-- Contrôleurs --
+AuthController.php                — formulaire de connexion / déconnexion
+AccountController.php             — changement de mot de passe (utilisateur)
+PasswordResetController.php       — formulaire "mot de passe oublié"
+
+-- Middlewares (Middleware/) --
+AuthMiddleware.php                — redirige vers /auth/login si non connecté
+AdminMiddleware.php               — redirige si rôle != admin
+EditorMiddleware.php              — redirige si rôle != editor ni admin
+```
+
+> 💡 Le modèle utilisateur (`User.php`), sa persistance (`UserRepository`) et la gestion des comptes (`UserController`) sont dans le domaine **`src/User/`**, séparé d'Auth. Auth consomme `User/` en lecture via `UserRepositoryInterface` — dépendance unidirectionnelle. L'autre dépendance inter-domaines du projet est `Post/ → Category/` : `PostController` injecte `CategoryServiceInterface` pour alimenter la liste des catégories dans le formulaire d'édition. `PostService` et `PostRepository` n'ont aucune connaissance de `Category/`.
+
+#### Connexion et rate limiting
+
+`AuthController::login()` orchestre trois responsabilités dans l'ordre : vérifier le rate limit, authentifier, ouvrir la session.
+
+```php
+// 0. Résolution de l'IP réelle derrière un reverse proxy (Caddy/Nginx)
+// En production Docker, REMOTE_ADDR retourne l'IP interne du proxy.
+// X-Forwarded-For contient l'IP d'origine du client — on lit le premier
+// segment, qui est injecté par Nginx/Caddy et ne peut pas être forgé.
+$forwarded = trim((string) ($serverParams['HTTP_X_FORWARDED_FOR'] ?? ''));
+$ip        = $forwarded !== '' ? trim(explode(',', $forwarded)[0])
+                                : ($serverParams['REMOTE_ADDR'] ?? '0.0.0.0');
+
+// 1. Vérification du rate limit (avant toute authentification)
+$remainingMinutes = $this->authService->checkRateLimit($ip);
+if ($remainingMinutes > 0) {
+    // Flash + redirect — l'IP est verrouillée pour $remainingMinutes min
+}
+
+// 2. Authentification
+$user = $this->authService->authenticate($username, $password);
+if ($user === null) {
+    $this->authService->recordFailure($ip); // incrémente le compteur
+    // Flash + redirect
+}
+
+// 3. Succès : réinitialiser le compteur, ouvrir la session
+$this->authService->resetRateLimit($ip);
+$this->authService->login($user); // écrit userId/username/role en session
+```
+
+> 💡 `AuthService::authenticate()` ne gère pas le rate limiting — c'est `AuthController` qui en est responsable. Cette séparation permet de tester chaque comportement indépendamment.
+>
+> ⚠️ L'IP lue depuis `REMOTE_ADDR` derrière un proxy retourne l'IP interne du proxy — le rate-limit se verrouillerait alors pour tous les utilisateurs simultanément. La logique ci-dessus lit `HTTP_X_FORWARDED_FOR` en priorité, ce qui est sûr dans un contexte Docker où seul Nginx/Caddy contrôle cet en-tête.
+
+#### Réinitialisation de mot de passe
+
+`PasswordResetController::forgot()` soumet le endpoint `POST /password/forgot` au **même rate limiting par IP** que la connexion (5 tentatives, verrouillage 15 min) via `AuthServiceInterface::checkRateLimit()` et `recordFailure()`.
+
+Chaque tentative est enregistrée systématiquement, qu'un email existe ou non. Réinitialiser le compteur uniquement en cas de succès constituerait un **canal caché** permettant à un attaquant d'observer le compteur et d'en déduire si une adresse est enregistrée — ce qui annulerait la protection anti-énumération du retour silencieux. `resetRateLimit()` n'est donc jamais appelé sur ce endpoint.
+
+#### Synchronisation de l'index FTS
+
+`Migrator::run()` appelle `syncFtsIndex()` à chaque démarrage. Cette méthode insère dans `posts_fts` les articles dont le `rowid` est absent de l'index — sans toucher aux entrées existantes (idempotent).
+
+Ce mécanisme est nécessaire car les triggers FTS5 ne couvrent que les opérations effectuées **après** leur création. Les articles présents en base au moment de la migration 006 ne sont pas indexés rétroactivement par les triggers. Sans cette synchronisation, la recherche retourne zéro résultat sur une base existante.
+
+`strip_tags()` est disponible dans ce contexte car `sqliteCreateFunction()` est appelé dans `container.php` avant `Migrator::run()` dans la séquence de démarrage.
+
+`PasswordResetService` gère le cycle complet en trois étapes :
+
+- `requestReset($email)` — cherche l'utilisateur, génère un token aléatoire, stocke son hash SHA-256 en base (jamais le token brut), envoie le lien par e-mail. Si l'e-mail est inconnu, retour silencieux pour ne pas révéler l'existence du compte.
+- `validateToken($tokenRaw)` — calcule le hash du token reçu, vérifie qu'il existe en base et n'est pas expiré (1 heure). Retourne l'utilisateur associé ou `null`.
+- `resetPassword($tokenRaw, $newPassword)` — valide le token, hache le nouveau mot de passe, met à jour la base, marque le token comme consommé (`used_at`).
+
+#### Exceptions métier
+
+Le domaine Auth définit trois exceptions dans `src/User/Exception/` qui étendent toutes `\InvalidArgumentException` :
+
+```
+DuplicateUsernameException  — nom d'utilisateur déjà pris
+DuplicateEmailException     — adresse e-mail déjà utilisée
+WeakPasswordException       — mot de passe inférieur à 8 caractères
+```
+
+Elles sont levées par `UserService` (`DuplicateUsernameException`, `DuplicateEmailException`, `WeakPasswordException`) et par `AuthService` et `PasswordResetService` (`WeakPasswordException`), puis attrapées dans les contrôleurs via un seul bloc `catch(\InvalidArgumentException)` : le message de l'exception est transmis directement au flash et affiché dans le formulaire.
+
+### 5.9 Gestion des erreurs et messages flash
+
+#### Le gestionnaire d'erreurs
+
+`Bootstrap::configureErrorHandling()` configure deux comportements selon l'environnement :
+
+- **Développement** (`APP_ENV=development`) : Slim affiche sa page de débogage avec la trace complète de l'exception. Toutes les erreurs sont visibles.
+- **Production** (`APP_ENV=production`, valeur par défaut) : un gestionnaire personnalisé intercepte toutes les exceptions et rend la page `views/pages/error.twig` avec un message générique.
+
+Les codes HTTP gérés en production :
+
+```
+403  — Vous n'avez pas accès à cette page.
+404  — La page que vous cherchez est introuvable.
+500  — Une erreur interne est survenue. Veuillez réessayer plus tard.
+```
+
+Toutes les exceptions sont loguées via Monolog, quel que soit l'environnement. Les logs sont dans `var/logs/`.
+
+#### NotFoundException et erreurs 404
+
+Quand un service ne trouve pas une ressource, il lève une `NotFoundException`. Slim la convertit en réponse HTTP 404 via son gestionnaire d'erreurs. En production, `error.twig` est rendue avec le message correspondant.
+
+```php
+// PostService::getPostBySlug()
+$post = $this->postRepository->findBySlug($slug);
+if ($post === null) {
+    throw new NotFoundException('Article', $slug);
+    // → Slim intercepte → HTTP 404 → error.twig en production
+}
+```
+
+#### Messages flash
+
+Les erreurs métier (formulaire invalide, doublon, upload refusé) ne passent pas par le gestionnaire d'erreurs : elles sont attrapées dans le contrôleur, converties en messages flash, puis affichées après redirection.
+
+```php
+// Pattern utilisé dans tous les contrôleurs
+try {
+    $this->userService->createUser($username, $email, $password, $role);
+    $this->flash->set('user_success', "L'utilisateur a été créé");
+    return $res->withHeader('Location', '/admin/users')->withStatus(302);
+} catch (\InvalidArgumentException $e) {
+    // DuplicateUsernameException, WeakPasswordException, etc.
+    // Toutes étendent \InvalidArgumentException — un seul catch suffit.
+    $this->flash->set('user_error', $e->getMessage());
+    return $res->withHeader('Location', '/admin/users/create')->withStatus(302);
+}
+
+// Le flash est lu une seule fois dans le contrôleur suivant (après redirect)
+'error' => $this->flash->get('user_error'), // null si absent
+```
+
+> 💡 La distinction est importante : `NotFoundException` est une erreur d'infrastructure (ressource absente) gérée par Slim. Les exceptions `DuplicateUsername`, `WeakPassword`, etc. sont des erreurs métier gérées par le contrôleur. Les deux chemins aboutissent à des réponses différentes : page d'erreur pour les premières, formulaire avec message pour les secondes.
+
+---
+
+## 6. La base de données
+
+### 6.1 Schéma
+
+La base SQLite contient sept tables. Voici leur structure simplifiée.
+
+#### categories
+
+```
+id    INTEGER  — clé primaire
+name  TEXT     — unique
+slug  TEXT     — unique, utilisé dans les URLs
+```
+
+#### users
+
+```
+id            INTEGER  — clé primaire
+username      TEXT     — unique
+email         TEXT     — unique
+password_hash TEXT
+role          TEXT     — 'user', 'editor' ou 'admin'
+created_at    DATETIME
+```
+
+#### posts
+
+```
+id          INTEGER
+title       TEXT
+content     TEXT     — HTML sanitisé
+slug        TEXT     — unique, stable (jamais régénéré)
+author_id   INTEGER  → users(id) ON DELETE SET NULL
+category_id INTEGER  → categories(id) ON DELETE SET NULL
+created_at  DATETIME
+updated_at  DATETIME
+```
+
+#### media
+
+```
+id         INTEGER  — clé primaire
+filename   TEXT
+url        TEXT
+hash       TEXT     — SHA-256 de l'image (déduplication)
+user_id    INTEGER  → users(id) ON DELETE SET NULL
+created_at DATETIME
+```
+
+#### password_resets
+
+```
+id         INTEGER  — identifiant auto-incrémenté
+user_id    INTEGER  → users(id) ON DELETE CASCADE
+token_hash TEXT     — SHA-256 du token (jamais le token brut)
+expires_at DATETIME — 1 heure après création
+used_at    DATETIME — NULL jusqu'à consommation (traçabilité)
+created_at DATETIME
+```
+
+#### posts_fts (table virtuelle FTS5)
+
+Table virtuelle SQLite pour la recherche full-text. Maintenue automatiquement par des triggers sur `posts`. Permet des recherches rapides sur le titre, le contenu et le nom de l'auteur.
+
+#### login_attempts
+
+```
+ip           TEXT          — clé primaire (adresse IP)
+attempts     INTEGER       — nombre de tentatives échouées
+locked_until TEXT          — NULL tant que le seuil n'est pas atteint
+updated_at   TEXT NOT NULL — date de la dernière tentative (défaut : maintenant)
+```
+
+Table de protection anti-brute-force : stocke les tentatives de connexion échouées par adresse IP. Après 5 échecs, `locked_until` est rempli (verrouillage 15 min). Les entrées expirées sont purgées automatiquement par `LoginAttemptRepository` à chaque tentative.
+
+### 6.2 Migrations
+
+Les migrations sont des fichiers PHP dans `database/migrations/`. Elles s'exécutent automatiquement au démarrage via `Migrator::run()`. Chaque migration ne s'exécute qu'une fois (une table `migrations` trace l'historique).
+
+Le provisionnement des données initiales (compte admin) est géré séparément par `Seeder::seed()`, appelé après `Migrator::run()` dans la séquence de démarrage. Cette séparation garantit que `Migrator` ne contient que du DDL, et `Seeder` que des données.
+
+> 💡 Pour ajouter une colonne ou une table, créer un nouveau fichier de migration. Ne jamais modifier une migration déjà exécutée en production.
+
+### 6.3 Sécurité
+
+- Les mots de passe sont hachés avec `password_hash()` (bcrypt). La valeur brute n'est jamais stockée.
+- Les tokens de réinitialisation sont stockés sous forme de hachage SHA-256. Le token brut envoyé par e-mail n'est jamais persisté.
+- PDO utilise des requêtes préparées (`prepare` + `execute`) : pas de risque d'injection SQL.
+
+---
+
+## 7. Installation et maintenance
+
+### 7.1 Développement local (sans Docker)
+
+Prérequis : PHP 8.1+ avec les extensions `pdo_sqlite`, `mbstring`, `fileinfo`, `gd` (WebP), `dom`. Composer. Node.js 18+.
+
+```bash
+git clone https://git.netig.net/netig/slim-blog
+cd slim-blog
+composer install
+npm install && npm run build
+cp .env.example .env
+php -S localhost:8080 -t public
+```
+
+Le serveur est accessible sur `http://localhost:8080`. Les migrations s'exécutent automatiquement à la première requête. Le compte admin est créé avec les identifiants définis dans `.env`.
+
+### 7.2 Production (Docker)
+
+Prérequis : Docker, Docker Compose.
+
+```bash
+git clone https://git.netig.net/netig/slim-blog
+cd slim-blog
+cp .env.example .env
+# Modifier .env : APP_ENV=production, APP_URL, ADMIN_PASSWORD
+docker compose up -d --build
+```
+
+> 💡 Le démarrage est bloqué intentionnellement si `ADMIN_PASSWORD` vaut encore `'changeme123'` et que `APP_ENV=production`. C'est une protection contre les déploiements non sécurisés.
+
+#### Durcissement de sécurité
+
+Deux fichiers de configuration contribuent au durcissement de la stack en production.
+
+`docker/php/php.ini` :
+- `expose_php = Off` — supprime l'en-tête `X-Powered-By: PHP/8.x` qui expose la stack technique
+- `session.name = sid` — renomme le cookie de session (`PHPSESSID` est un fingerprint PHP connu des scanners automatisés)
+
+`docker/nginx/default.conf` injecte quatre en-têtes HTTP sur toutes les réponses :
+
+| En-tête | Valeur | Protection |
+|---------|--------|------------|
+| `X-Frame-Options` | `SAMEORIGIN` | Clickjacking |
+| `X-Content-Type-Options` | `nosniff` | Sniffing MIME |
+| `Referrer-Policy` | `strict-origin-when-cross-origin` | Fuite d'URL vers l'extérieur |
+| `Permissions-Policy` | `camera=(), microphone=(), geolocation=()` | APIs navigateur non utilisées |
+
+Ces réglages sont actifs dès `docker compose up` sans configuration supplémentaire.
+
+#### Séquence de démarrage
+
+Le service `app` (PHP-FPM) expose un **healthcheck** TCP sur le port 9000. Nginx ne démarre qu'une fois le healthcheck passé (`condition: service_healthy`) — ce qui garantit qu'aucune requête n'est transmise à PHP-FPM avant qu'il soit prêt. Sans cela, Nginx démarrerait immédiatement et retournerait des 502 pendant les premières secondes (migrations, seed, sync `public/`).
+
+Le healthcheck est configuré avec un `start_period` de 20 secondes : les échecs pendant cette fenêtre ne sont pas comptabilisés, ce qui laisse le temps à `entrypoint.sh` de terminer son initialisation sans déclencher de faux positifs.
+
+Pour suivre la progression du démarrage :
+
+```bash
+docker compose up -d --build
+docker compose ps          # colonne STATUS : "starting" → "healthy"
+docker compose logs -f app # logs d'initialisation en temps réel
+```
+
+#### Vérification locale
+
+L'application est accessible sur `http://localhost:8888` une fois le service `app` passé à l'état `healthy` (visible dans `docker compose ps`). Ce n'est pas instantané au premier démarrage — compter 10 à 30 secondes le temps que PHP-FPM initialise et que les migrations s'exécutent.
+
+#### Reverse proxy requis pour l'exposition publique
+
+Le conteneur nginx écoute sur `127.0.0.1:8888` — uniquement sur l'interface loopback de la machine hôte. Il n'est **pas** accessible depuis Internet sans un reverse proxy configuré sur le serveur. Ce choix est délibéré : c'est le reverse proxy qui prend en charge le TLS et redirige le trafic HTTPS vers le conteneur.
+
+La config Nginx interne transmet déjà les en-têtes nécessaires à PHP (`X-Forwarded-For`, `X-Forwarded-Proto`) pour que l'application connaisse l'IP réelle du client et sache si la connexion est HTTPS.
+
+Exemple minimal avec **Caddy** (`/etc/caddy/Caddyfile`) :
+
+```
+blog.exemple.com {
+    reverse_proxy 127.0.0.1:8888
+}
+```
+
+Caddy gère automatiquement l'obtention et le renouvellement du certificat TLS. Avec **Nginx** sur l'hôte, ajouter un bloc `proxy_pass http://127.0.0.1:8888;` dans la section `location /` du virtualhost HTTPS, en incluant les en-têtes habituels (`proxy_set_header Host`, `X-Real-IP`, `X-Forwarded-For`, `X-Forwarded-Proto`).
+
+### 7.3 Variables d'environnement clés
+
+| Variable | Description | Exemple |
+|----------|-------------|---------|
+| APP_ENV | `development` ou `production` | `production` |
+| APP_NAME | Nom du blog (flux RSS, e-mails) | `Slim Blog` |
+| APP_URL | URL publique (liens e-mails, flux RSS) | `https://blog.exemple.com` |
+| TIMEZONE | Fuseau horaire PHP | `Europe/Paris` |
+| ADMIN_USERNAME | Nom d'utilisateur du compte admin | `admin` |
+| ADMIN_EMAIL | E-mail du compte admin | `admin@example.com` |
+| ADMIN_PASSWORD | Mot de passe admin (obligatoire en production) | *(à changer)* |
+| MAIL_HOST | Serveur SMTP | `smtp.exemple.com` |
+| MAIL_PORT | Port SMTP (587 TLS, 465 SSL) | `587` |
+| MAIL_USERNAME | Identifiant SMTP | `noreply@exemple.com` |
+| MAIL_PASSWORD | Mot de passe SMTP | *(confidentiel)* |
+| MAIL_ENCRYPTION | Chiffrement SMTP (`tls` ou `ssl`) | `tls` |
+| MAIL_FROM | Adresse expéditrice | `noreply@exemple.com` |
+| MAIL_FROM_NAME | Nom d'affichage de l'expéditeur | `Slim Blog` |
+| UPLOAD_MAX_SIZE | Taille max upload en octets | `5242880` (5 Mo) |
+
+### 7.4 Mettre à jour le site
+
+Après un changement de code ou de configuration :
+
+```bash
+docker compose build
+docker compose up -d
+```
+
+Le script d'entrée Docker gère automatiquement la synchronisation des fichiers statiques et l'exécution des nouvelles migrations.
+
+> ⚠️ **Cache du container PHP-DI en production** — En production, PHP-DI compile le container dans `data/var/cache/di/` pour éviter la réflexion PHP à chaque requête. L'entrypoint Docker vide ce cache automatiquement à chaque déploiement (`docker compose build && docker compose up -d`). Si vous redémarrez le container *sans* rebuilder l'image (ex : `docker compose restart app`), le cache n'est pas vidé — dans ce cas, videz-le manuellement si `config/container.php` a été modifié :
+>
+> ```bash
+> docker compose exec app rm -rf /var/www/app/var/cache/di
+> docker compose restart app
+> ```
+
+> ⚠️ **Cache Twig en production** — Le dossier `data/var/cache/twig/` est monté en volume persistant et survit aux redéploiements. Si un template ou une extension Twig a été modifié (notamment l'ajout d'une option `is_safe` sur une fonction), le cache compilé peut afficher un comportement obsolète (ex : balises HTML affichées en texte brut). Dans ce cas, vider le cache manuellement :
+>
+> ```bash
+> docker compose exec app rm -rf /var/www/app/var/cache/twig
+> ```
+>
+> Le cache se reconstruit automatiquement à la prochaine requête. Si le problème persiste après un redéploiement, vider également le volume local avant de relancer :
+>
+> ```bash
+> docker compose down
+> rm -rf data/var/cache/twig
+> docker compose up -d
+> ```
+
+### 7.5 Logs
+
+En production, les logs PHP remontent dans Docker :
+
+```bash
+docker compose logs -f app
+```
+
+Les logs Monolog de l'application sont dans `data/var/logs/`.
+
+### 7.6 Sauvegarde
+
+La base SQLite est dans `data/database/app.sqlite`. Les images téléversées sont dans `data/public/media/`. Ces deux dossiers suffisent pour une sauvegarde complète.
+
+### 7.7 Débogage
+
+#### Afficher les erreurs en développement
+
+Par défaut en production, les exceptions sont interceptées et une page d'erreur générique est affichée. En développement, Slim affiche la trace complète. S'assurer que `.env` contient :
+
+```bash
+APP_ENV=development
+```
+
+Avec cette valeur, toute exception non attrapée produit une page de débogage avec la pile d'appels complète, le fichier et la ligne concernés.
+
+#### L'application ne démarre pas
+
+Les erreurs au démarrage (migration échouée, variable d'environnement manquante, extension PHP absente) ne produisent parfois aucun message visible. Consulter les logs en premier recours :
+
+```bash
+# Avec Docker
+docker compose logs app
+
+# Sans Docker — PHP écrit dans stderr, redirigé vers le terminal
+php -S localhost:8080 -t public
+```
+
+Les logs Monolog de l'application sont dans `data/var/logs/`.
+
+#### Une migration ne s'exécute pas
+
+Le Migrator trace les migrations déjà appliquées dans une table `migrations`. Si une migration a été modifiée après avoir été exécutée, le Migrator ne la réexécute pas. Pour forcer une réexécution en développement, supprimer le fichier SQLite (`data/database/app.sqlite`) : les migrations repartent de zéro au prochain démarrage.
+
+> ⚠️ Ne jamais supprimer la base en production. Créer une nouvelle migration à la place.
+
+#### PHPStan signale une erreur de type
+
+PHPStan analyse le code statiquement sans l'exécuter. Une erreur typique :
+
+```
+Parameter #1 $id of method App\Post\PostRepository::findById()
+expects int, int|null given.
+```
+
+Le message indique le fichier, la ligne et la nature du désaccord. La solution est presque toujours d'ajouter une vérification `if ($id === null)` avant l'appel, ou d'ajuster le type déclaré. Ne jamais ajouter une ligne `// @phpstan-ignore` sans comprendre pourquoi PHPStan se plaint : l'erreur signale presque toujours un vrai bug potentiel.
+
+#### Une page affiche une erreur 500 en production
+
+1. Consulter `docker compose logs app` — PHP-FPM y écrit les erreurs fatales immédiatement.
+2. Consulter `data/var/logs/` — Monolog y écrit toutes les exceptions avec leur trace complète, même en production.
+3. Passer temporairement `APP_ENV=development` pour voir l'erreur directement dans le navigateur.
+4. Remettre `APP_ENV=production` une fois le problème identifié.
+
+#### La première requête répond 200, toutes les suivantes répondent 500
+
+C'est la signature d'un **container PHP-DI compilé corrompu**. En production, PHP-DI compile le container au premier hit et écrit le résultat dans `var/cache/di/`. Ce cache est normalement vidé automatiquement par l'entrypoint Docker à chaque déploiement.
+
+Si le problème survient après un `docker compose restart app` sans rebuild (le cache DI n'est alors pas vidé) :
+
+```bash
+docker compose exec app rm -rf /var/www/app/var/cache/di
+docker compose restart app
+```
+
+#### Le rendu HTML est affiché en texte brut (balises visibles)
+
+Le cache Twig compilé en production peut être obsolète après une modification d'une extension Twig (ex : ajout de `is_safe => ['html']` sur une fonction). Le template compilé continue d'échapper le HTML jusqu'à ce que le cache soit invalidé.
+
+```bash
+docker compose exec app rm -rf /var/www/app/var/cache/twig
+```
+
+
+
+## 8. Faire évoluer le projet
+
+Avant de modifier quoi que ce soit, un réflexe utile : lancer `vendor/bin/phpunit` et `vendor/bin/phpstan analyse` une première fois pour avoir une base verte. Si quelque chose casse après votre modification, vous saurez exactement ce que vous avez introduit.
+
+Quand quelque chose ne marche plus, l'ordre de vérification est toujours le même. D'abord les logs : `docker compose logs app` en production, ou le terminal qui exécute `php -S` en développement. L'erreur y est presque toujours, plus explicite que ce qu'affiche le navigateur. Ensuite PHPStan : `vendor/bin/phpstan analyse` détecte les erreurs de typage avant même d'exécuter le code — un paramètre du mauvais type ou un retour `null` non géré y apparaît immédiatement. Enfin les tests : `vendor/bin/phpunit` confirme si le comportement existant est préservé ou si une régression a été introduite. Si les trois sont verts et que le bug persiste, passer `APP_ENV=development` pour voir la trace complète dans le navigateur.
+
+### 8.1 Backoffice
+
+Les modifications Backoffice concernent le code PHP : domaines métier, routes, middlewares et tests. Elles ne nécessitent aucune recompilation CSS.
+
+#### 8.1.1 Ajouter une fonctionnalité dans un domaine existant
+
+Exemple : ajouter un champ « temps de lecture » aux articles.
+
+1. Créer une migration SQL pour ajouter la colonne à la table `posts`
+2. Ajouter la propriété dans le modèle `Post.php`
+3. Mettre à jour `PostRepository` pour lire/écrire ce champ
+4. Mettre à jour `PostService` si une logique de calcul est nécessaire
+5. Adapter les templates Twig pour afficher la valeur
+
+> 💡 Ne jamais modifier une migration déjà exécutée en production. Toujours créer un nouveau fichier de migration.
+
+#### 8.1.2 Créer un nouveau domaine
+
+Exemple : ajouter un domaine Commentaire.
+
+1. Créer `src/Comment/` avec le schéma standard
+   - `Comment.php` — modèle immuable
+   - `CommentRepositoryInterface.php` — contrat
+   - `CommentRepository.php` — implémentation PDO
+   - `CommentService.php` — logique métier
+   - `CommentController.php` — actions HTTP
+2. Déclarer les dépendances dans `config/container.php`
+3. Déclarer les routes dans `Routes.php`
+4. Créer la migration dans `database/migrations/`
+5. Écrire les tests dans `tests/Comment/`
+
+**Brancher le domaine dans `config/container.php`**
+
+C'est l'étape où les gens bloquent le plus souvent. Il faut déclarer le binding interface → classe pour chaque contrat du domaine. PHP-DI résout ensuite le service et le contrôleur automatiquement par autowiring.
+
+```php
+// config/container.php — ajouter dans le tableau de retour
+
+// 1. Repository — binding interface → implémentation PDO
+CommentRepositoryInterface::class => autowire(CommentRepository::class),
+
+// 2. Service — si CommentService ne dépend que d'interfaces déjà liées,
+//    aucune factory supplémentaire : l'autowiring suffit.
+
+// 3. Contrôleur — idem, résolu automatiquement si toutes ses dépendances
+//    sont typées sur des interfaces déjà déclarées dans ce fichier.
+```
+
+> 💡 PHP-DI lit les types des paramètres de constructeur et injecte automatiquement. On n'écrit une `factory()` explicite que lorsqu'une dépendance est scalaire (chemin, clé `.env`) ou nécessite une logique d'initialisation non déductible du type seul.
+
+**Déclarer les routes dans `Routes.php`**
+
+```php
+// src/Shared/Routes.php — ajouter dans Routes::register()
+// Ajouter en tête de fichier : use App\Auth\Middleware\AuthMiddleware;
+
+// Routes publiques (lecture)
+$app->get('/article/{slug}/comments', [CommentController::class, 'index']);
+
+// Routes protégées (écriture)
+$app->group('/comments', function ($group) {
+    $group->post('/create', [CommentController::class, 'create']);
+    $group->post('/delete/{id}', [CommentController::class, 'delete']);
+})->add(AuthMiddleware::class);
+```
+
+**À quoi ressemble un `CommentController` minimal**
+
+Pour lever toute ambiguïté sur ce que "créer un contrôleur" signifie concrètement, voici une implémentation minimale mais fonctionnelle des trois actions déclarées dans les routes ci-dessus. Elle reproduit les mêmes patterns que `PostController` : injection dans le constructeur, lecture de la session, flash + redirection en cas d'erreur.
+
+```php
+<?php
+// src/Comment/CommentController.php
+
+declare(strict_types=1);
+
+namespace App\Comment;
+
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Exception\HttpNotFoundException;
+use Slim\Views\Twig;
+
+final class CommentController
+{
+    public function __construct(
+        private readonly CommentServiceInterface $commentService,
+        private readonly Twig $view,
+        private readonly FlashServiceInterface $flash,
+        private readonly SessionManagerInterface $sessionManager,
+    ) {}
+
+    /**
+     * Affiche les commentaires d'un article (route publique).
+     *
+     * @param array<string, string> $args Paramètres de route (slug de l'article)
+     */
+    public function index(Request $req, Response $res, array $args): Response
+    {
+        $slug = (string) ($args['slug'] ?? '');
+
+        try {
+            $comments = $this->commentService->getCommentsByPostSlug($slug);
+        } catch (NotFoundException) {
+            throw new HttpNotFoundException($req);
+        }
+
+        return $this->view->render($res, 'pages/post/detail.twig', [
+            'comments' => $comments,
+            'slug'     => $slug,
+        ]);
+    }
+
+    /**
+     * Traite la soumission d'un nouveau commentaire (route protégée).
+     *
+     * L'auteur est l'utilisateur connecté, lu depuis la session.
+     * En cas d'erreur de validation, redirige vers l'article avec un message flash.
+     */
+    public function create(Request $req, Response $res): Response
+    {
+        /** @var array<string, mixed> $data */
+        $data    = (array) $req->getParsedBody();
+        $content = trim((string) ($data['content'] ?? ''));
+        $postId  = (int) ($data['post_id'] ?? 0);
+        $slug    = (string) ($data['slug'] ?? '');
+
+        try {
+            $this->commentService->createComment(
+                $content,
+                $postId,
+                $this->sessionManager->getUserId() ?? 0,
+            );
+            $this->flash->set('comment_success', 'Commentaire publié.');
+        } catch (\InvalidArgumentException $e) {
+            // Erreur métier (contenu vide, post inexistant…) — flash + retour à l'article
+            $this->flash->set('comment_error', $e->getMessage());
+        }
+
+        return $res->withHeader('Location', "/article/{$slug}")->withStatus(302);
+    }
+
+    /**
+     * Supprime un commentaire (route protégée).
+     *
+     * Seul l'auteur du commentaire ou un admin peut le supprimer.
+     *
+     * @param array<string, string> $args Paramètres de route (id du commentaire)
+     */
+    public function delete(Request $req, Response $res, array $args): Response
+    {
+        $id = (int) ($args['id'] ?? 0);
+
+        try {
+            $comment = $this->commentService->getCommentById($id);
+        } catch (NotFoundException) {
+            throw new HttpNotFoundException($req);
+        }
+
+        // Vérification des droits : auteur du commentaire ou admin
+        $isOwner = $comment->getAuthorId() === $this->sessionManager->getUserId();
+        if (!$isOwner && !$this->sessionManager->isAdmin()) {
+            $this->flash->set('comment_error', 'Vous ne pouvez pas supprimer ce commentaire.');
+            return $res->withHeader('Location', '/')->withStatus(302);
+        }
+
+        try {
+            $this->commentService->deleteComment($id);
+            $this->flash->set('comment_success', 'Commentaire supprimé.');
+        } catch (NotFoundException) {
+            // Supprimé entre la vérification et le DELETE (race condition)
+            throw new HttpNotFoundException($req);
+        }
+
+        // Redirige vers le referer si disponible, sinon vers l'accueil
+        $referer = $req->getHeaderLine('Referer');
+        $target  = $referer !== '' ? $referer : '/';
+
+        return $res->withHeader('Location', $target)->withStatus(302);
+    }
+}
+```
+
+Ce contrôleur n'invente rien : chaque pattern est déjà présent dans `PostController`. `index()` appelle le service et passe les données à Twig. `create()` lit `$req->getParsedBody()`, délègue à `CommentService`, et redirige avec un flash. `delete()` vérifie les droits avant d'agir, exactement comme `PostController::delete()`. `CommentService` et `CommentRepository` sont à écrire selon le même schéma que `PostService` et `PostRepository`.
+
+#### 8.1.3 Ajouter un rôle
+
+Les rôles sont définis comme constantes dans `User.php` et vérifiés par des middlewares (`AuthMiddleware`, `EditorMiddleware`, `AdminMiddleware`). Pour ajouter un rôle :
+
+1. Ajouter la méthode `isNouveauRole()` dans `SessionManager` et `SessionManagerInterface`
+2. Créer `NouveauRoleMiddleware.php` dans `src/Auth/Middleware/`
+3. Protéger les routes concernées dans `Routes.php`
+
+#### 8.1.4 Adapter le projet à un autre domaine
+
+Les domaines `Auth`, `Category`, `Media`, `User` et `Shared` sont réutilisables sans modification. Seul `Post/` est spécifique au blog. Pour transformer le projet en boutique :
+
+1. Supprimer ou archiver `src/Post/`
+2. Créer `src/Product/`, `src/Order/`, etc. selon le même schéma
+3. Adapter les routes et les templates
+
+L'infrastructure (authentification, sessions, e-mails, uploads, CSS) est entièrement réutilisable.
+
+#### 8.1.5 Lancer les tests
+
+Les tests unitaires vérifient la logique métier des services, des repositories et des contrôleurs sans démarrer l'application ni toucher la base de données. Le projet compte 26 suites réparties dans cinq dossiers, plus une classe de base partagée :
+
+```
+tests/
+├── ControllerTestCase.php   ← Classe de base abstraite (helpers PSR-7, assertions HTTP)
+├── Auth/       AccountControllerTest, AuthControllerTest, AuthServiceTest,
+│               AuthServiceRateLimitTest, LoginAttemptRepositoryTest,
+│               PasswordResetControllerTest, PasswordResetRepositoryTest,
+│               PasswordResetServiceTest
+├── Category/   CategoryControllerTest, CategoryRepositoryTest, CategoryServiceTest
+├── Media/      MediaControllerTest, MediaRepositoryTest, MediaServiceTest
+├── Post/       PostControllerTest, PostRepositoryTest, PostServiceTest, RssControllerTest
+├── Shared/     DateParserTest, HtmlSanitizerTest, SessionManagerTest, SlugHelperTest
+└── User/       UserControllerTest, UserRepositoryTest, UserServiceTest, UserTest
+```
+
+```bash
+# Lancer toute la suite
+vendor/bin/phpunit
+
+# Lancer uniquement les tests d'un domaine
+vendor/bin/phpunit tests/Auth/
+
+# Lancer un seul fichier de test
+vendor/bin/phpunit tests/Auth/AuthServiceTest.php
+
+# Afficher le nom de chaque test exécuté
+vendor/bin/phpunit --testdox
+```
+
+Une suite verte ressemble à ceci :
+
+```
+OK (42 tests, 97 assertions)
+```
+
+Une suite avec échec indique le test concerné, la valeur attendue et la valeur obtenue :
+
+```
+FAILED (failures: 1)
+
+AuthServiceTest::testCreateUserWithValidData
+Failed asserting that 'Alice' is identical to 'alice'.
+```
+
+Ici le test révèle que la normalisation en minuscules n'est pas appliquée — c'est exactement ce genre de régression qu'un test est censé détecter.
+
+**Analyse statique**
+
+```bash
+vendor/bin/phpstan analyse
+```
+
+PHPStan analyse le code sans l'exécuter et signale les erreurs de types. Une sortie propre ressemble à :
+
+```
+ [OK] No errors
+```
+
+En cas d'erreur, PHPStan indique le fichier, la ligne et la nature du problème. Voir §7.7 pour interpréter et corriger ces messages.
+
+**Couverture de code** (requiert Xdebug ou PCOV) :
+
+```bash
+vendor/bin/phpunit --coverage-text
+```
+
+> 💡 Lancer `vendor/bin/phpunit` et `vendor/bin/phpstan analyse` avant chaque commit garantit qu'aucune régression n'est introduite. PHPStan niveau 8 est configuré en mode strict : s'il passe, le typage est solide.
+
+---
+
+### 8.2 Frontend
+
+Le Frontend regroupe les templates Twig (structure HTML) et les sources SCSS (styles visuels). Ces deux couches sont indépendantes du PHP : on peut modifier une page ou changer une couleur sans toucher au code métier.
+
+#### 8.2.1 Modifier un template Twig
+
+Les templates Twig sont dans `views/`. Ils héritent tous de `layout.twig` qui définit la structure HTML commune (head, header, footer).
+
+Pour modifier l'apparence d'une page, ouvrir le fichier `.twig` correspondant dans `views/pages/` ou `views/admin/`. Pour modifier un élément commun (navigation, pied de page), éditer les `partials/`.
+
+L'héritage Twig fonctionne avec deux mécanismes :
+
+- `extends` : un template enfant déclare `{% extends 'layout.twig' %}` pour hériter de la structure globale.
+- `block` : les zones variables sont définies dans le layout (`{% block content %}{% endblock %}`) et remplies par chaque page.
+
+```twig
+{% extends 'layout.twig' %}
+
+{% block title %}
+    Slim Blog
+{% endblock %}
+
+{% block content %}
+    <div class="card-list card-list--contained">
+        {% for post in posts %}
+            <article class="card">
+                <h2 class="card__title">
+                    <a href="{{ post_url(post) }}">{{ post.title }}</a>
+                </h2>
+                <p class="card__excerpt">{{ post_excerpt(post, 200) }}</p>
+            </article>
+        {% else %}
+            <p>Aucun article publié.</p>
+        {% endfor %}
+    </div>
+{% endblock %}
+```
+
+> 💡 Après modification du SCSS, recompiler avec `npm run build` (ou `npm run watch` pour la recompilation automatique).
+
+#### 8.2.2 Travailler avec le SCSS
+
+Les styles sont écrits en SCSS (Sass) dans `assets/scss/` et compilés vers `public/assets/css/` par l'outil en ligne de commande Sass. Le fichier CSS généré n'est jamais modifié directement.
+
+#### Architecture 7-1
+
+Le dossier `assets/scss/` suit une version simplifiée de l'architecture 7-1 : les sources sont réparties en couches, chacune dans son sous-dossier. Le fichier `main.scss` est le seul point d'entrée ; il importe les couches dans un ordre déterminé.
+
+```
+assets/scss/
+├── abstracts/             ← variables et mixins (ne génèrent aucun CSS)
+│   ├── _variables.scss    ← design tokens (couleurs, espacements…)
+│   └── _mixins.scss       ← breakpoints réutilisables
+├── base/                  ← reset et typographie globale
+├── components/            ← éléments réutilisables (boutons, cartes…)
+├── layout/                ← zones structurelles (header, footer)
+├── pages/                 ← surcharges spécifiques à chaque vue
+└── main.scss              ← point d'entrée unique, importe tout
+```
+
+#### Variables
+
+Le fichier `abstracts/_variables.scss` est la source de vérité pour toutes les valeurs du projet. Modifier une variable dans ce fichier propage automatiquement la modification à tous les composants qui l'utilisent.
+
+```scss
+// Couleurs
+$color-primary: #007bff;
+$color-danger:  #dc3545;
+$color-text:    #212529;
+$color-border:  #dee2e6;
+
+// Espacements
+$spacing-sm: 0.5rem;
+$spacing-md: 1rem;
+$spacing-lg: 1.5rem;
+
+// Responsive
+$breakpoint-mobile: 600px;
+```
+
+Pour utiliser ces variables dans un fichier de composant, il faut les importer en tête du fichier avec `@use` (et non `@import`, qui est obsolète en Sass moderne) :
+
+```scss
+@use '../abstracts/variables' as *;
+
+.btn {
+    padding: $spacing-sm $spacing-md;
+    background: $color-primary;
+}
+```
+
+#### Mixins
+
+Le fichier `abstracts/_mixins.scss` définit des blocs CSS réutilisables appelés avec `@include`. Le projet contient un mixin principal : `mobile`, qui applique des styles en dessous du breakpoint mobile.
+
+```scss
+@use '../abstracts/mixins' as *;
+
+.card {
+    display: flex;
+    flex-direction: row;
+
+    @include mobile {
+        // styles appliqués en dessous de 600px
+        flex-direction: column;
+    }
+}
+```
+
+#### Convention BEM
+
+Les classes CSS suivent la convention BEM (Block — Element — Modifier). Elle permet de lire immédiatement le rôle de chaque classe et d'éviter les conflits de nommage.
+
+- **Block** : composant indépendant. Exemple : `.card`, `.btn`
+- **Element** : partie du bloc, séparée par `__`. Exemple : `.card__title`, `.card__body`
+- **Modifier** : variante du bloc ou de l'élément, séparée par `--`. Exemple : `.btn--primary`, `.card-list--contained`
+
+```html
+<!-- HTML -->
+<div class="card">
+    <div class="card__content">
+        <div class="card__body">
+            <h2 class="card__title">Titre</h2>
+            <p class="card__excerpt">Extrait</p>
+        </div>
+        <div class="card__actions">
+            <a href="#" class="card__actions-link">Lire la suite →</a>
+        </div>
+    </div>
+</div>
+
+<button class="btn btn--primary btn--lg">Publier</button>
+<button class="btn-link">Déconnexion</button>
+```
+
+#### Ajouter un composant
+
+Pour ajouter un nouveau composant (exemple : une boîte de dialogue modale), créer un fichier dans `assets/scss/components/` et l'importer dans `main.scss`.
+
+```scss
+// 1. Créer assets/scss/components/_modal.scss
+@use '../abstracts/variables' as *;
+
+.modal {
+    position: fixed;
+    background: $color-bg-white;
+    border: 1px solid $color-border;
+    border-radius: $border-radius;
+    padding: $spacing-lg;
+}
+
+.modal__title {
+    font-size: 1.25rem;
+    margin-bottom: $spacing-md;
+}
+
+.modal--large {
+    max-width: 800px;
+}
+
+// 2. Ajouter l'import dans assets/scss/main.scss
+@use "components/modal";
+```
+
+> 💡 Ne jamais écrire de CSS directement dans `main.scss`. Ce fichier est uniquement un orchestrateur d'imports. Tout style concret va dans le fichier partiel correspondant à son contexte.
+
+#### Commandes
+
+| Commande | Usage |
+|----------|-------|
+| `npm run build` | Compile tout (CSS + assets vendor) |
+| `npm run watch` | Recompile automatiquement le SCSS à chaque modification |
+| `npm run clean` | Supprime le dossier `public/assets/` |
+
+> 💡 En développement, lancer `npm run watch` dans un terminal dédié. Les modifications SCSS sont immédiatement appliquées au rechargement de la page, sans redémarrer le serveur PHP.
+
+---
+
+## 9. Conclusion
+
+Si vous découvrez le projet, voici une progression concrète pour le prendre en main :
+
+1. **Lire `src/Post/` de bout en bout** — c'est le domaine le plus complet, il contient tous les patterns du projet (modèle, interface, repository, service, contrôleur). C'est la seule fois où vous aurez besoin de lire un domaine en entier ; les autres se comprennent ensuite par analogie.
+
+2. **Tracer le flux d'une requête (§5.4 et §5.5) dans le code** en suivant `public/index.php` → `Bootstrap` → `Routes` → `PostController`. Cette étape ancre la lecture abstraite dans la réalité de l'exécution : après ça, vous savez exactement où intervenir pour n'importe quelle modification.
+
+3. **Lire un test unitaire dans `tests/Auth/AuthServiceTest.php`** pour comprendre comment les mocks remplacent les dépendances réelles. C'est fait après les deux premières étapes car les mocks ne prennent sens que quand on a déjà vu les vraies classes en action.
+
+4. **Faire une petite modification** : ajouter un champ, créer une route, modifier un template — et vérifier que les tests passent toujours. C'est en dernier parce que c'est là que tout se consolide : une modification réussie prouve qu'on a compris, pas seulement qu'on a lu.
+
+Le dossier `docs/` contient un fichier complémentaire à ce guide : `ARCHITECTURE.md` détaille les décisions de conception (pourquoi ce pattern, pourquoi cette contrainte). Ce guide-ci est autonome — il n'est pas nécessaire de le lire pour démarrer — mais il approfondit certains points si le besoin s'en fait sentir. Les commentaires PHPDoc dans le code accompagnent également chaque étape. En cas de doute sur un pattern, le domaine `Post/` fait toujours référence.
diff --git a/package-lock.json b/package-lock.json
new file mode 100644
index 0000000..59c4084
--- /dev/null
+++ b/package-lock.json
@@ -0,0 +1,444 @@
+{
+    "name": "slim-blog",
+    "lockfileVersion": 3,
+    "requires": true,
+    "packages": {
+        "": {
+            "dependencies": {
+                "jquery": "^3.7.0",
+                "trumbowyg": "^2.27.3"
+            },
+            "devDependencies": {
+                "sass": "^1.80.0"
+            },
+            "engines": {
+                "node": ">=18"
+            }
+        },
+        "node_modules/@parcel/watcher": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher/-/watcher-2.5.6.tgz",
+            "integrity": "sha512-tmmZ3lQxAe/k/+rNnXQRawJ4NjxO2hqiOLTHvWchtGZULp4RyFeh6aU4XdOYBFe2KE1oShQTv4AblOs2iOrNnQ==",
+            "dev": true,
+            "hasInstallScript": true,
+            "optional": true,
+            "dependencies": {
+                "detect-libc": "^2.0.3",
+                "is-glob": "^4.0.3",
+                "node-addon-api": "^7.0.0",
+                "picomatch": "^4.0.3"
+            },
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            },
+            "optionalDependencies": {
+                "@parcel/watcher-android-arm64": "2.5.6",
+                "@parcel/watcher-darwin-arm64": "2.5.6",
+                "@parcel/watcher-darwin-x64": "2.5.6",
+                "@parcel/watcher-freebsd-x64": "2.5.6",
+                "@parcel/watcher-linux-arm-glibc": "2.5.6",
+                "@parcel/watcher-linux-arm-musl": "2.5.6",
+                "@parcel/watcher-linux-arm64-glibc": "2.5.6",
+                "@parcel/watcher-linux-arm64-musl": "2.5.6",
+                "@parcel/watcher-linux-x64-glibc": "2.5.6",
+                "@parcel/watcher-linux-x64-musl": "2.5.6",
+                "@parcel/watcher-win32-arm64": "2.5.6",
+                "@parcel/watcher-win32-ia32": "2.5.6",
+                "@parcel/watcher-win32-x64": "2.5.6"
+            }
+        },
+        "node_modules/@parcel/watcher-android-arm64": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-android-arm64/-/watcher-android-arm64-2.5.6.tgz",
+            "integrity": "sha512-YQxSS34tPF/6ZG7r/Ih9xy+kP/WwediEUsqmtf0cuCV5TPPKw/PQHRhueUo6JdeFJaqV3pyjm0GdYjZotbRt/A==",
+            "cpu": [
+                "arm64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "android"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-darwin-arm64": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-darwin-arm64/-/watcher-darwin-arm64-2.5.6.tgz",
+            "integrity": "sha512-Z2ZdrnwyXvvvdtRHLmM4knydIdU9adO3D4n/0cVipF3rRiwP+3/sfzpAwA/qKFL6i1ModaabkU7IbpeMBgiVEA==",
+            "cpu": [
+                "arm64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "darwin"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-darwin-x64": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-darwin-x64/-/watcher-darwin-x64-2.5.6.tgz",
+            "integrity": "sha512-HgvOf3W9dhithcwOWX9uDZyn1lW9R+7tPZ4sug+NGrGIo4Rk1hAXLEbcH1TQSqxts0NYXXlOWqVpvS1SFS4fRg==",
+            "cpu": [
+                "x64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "darwin"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-freebsd-x64": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-freebsd-x64/-/watcher-freebsd-x64-2.5.6.tgz",
+            "integrity": "sha512-vJVi8yd/qzJxEKHkeemh7w3YAn6RJCtYlE4HPMoVnCpIXEzSrxErBW5SJBgKLbXU3WdIpkjBTeUNtyBVn8TRng==",
+            "cpu": [
+                "x64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "freebsd"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-linux-arm-glibc": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-linux-arm-glibc/-/watcher-linux-arm-glibc-2.5.6.tgz",
+            "integrity": "sha512-9JiYfB6h6BgV50CCfasfLf/uvOcJskMSwcdH1PHH9rvS1IrNy8zad6IUVPVUfmXr+u+Km9IxcfMLzgdOudz9EQ==",
+            "cpu": [
+                "arm"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "linux"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-linux-arm-musl": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-linux-arm-musl/-/watcher-linux-arm-musl-2.5.6.tgz",
+            "integrity": "sha512-Ve3gUCG57nuUUSyjBq/MAM0CzArtuIOxsBdQ+ftz6ho8n7s1i9E1Nmk/xmP323r2YL0SONs1EuwqBp2u1k5fxg==",
+            "cpu": [
+                "arm"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "linux"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-linux-arm64-glibc": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-linux-arm64-glibc/-/watcher-linux-arm64-glibc-2.5.6.tgz",
+            "integrity": "sha512-f2g/DT3NhGPdBmMWYoxixqYr3v/UXcmLOYy16Bx0TM20Tchduwr4EaCbmxh1321TABqPGDpS8D/ggOTaljijOA==",
+            "cpu": [
+                "arm64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "linux"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-linux-arm64-musl": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-linux-arm64-musl/-/watcher-linux-arm64-musl-2.5.6.tgz",
+            "integrity": "sha512-qb6naMDGlbCwdhLj6hgoVKJl2odL34z2sqkC7Z6kzir8b5W65WYDpLB6R06KabvZdgoHI/zxke4b3zR0wAbDTA==",
+            "cpu": [
+                "arm64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "linux"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-linux-x64-glibc": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-linux-x64-glibc/-/watcher-linux-x64-glibc-2.5.6.tgz",
+            "integrity": "sha512-kbT5wvNQlx7NaGjzPFu8nVIW1rWqV780O7ZtkjuWaPUgpv2NMFpjYERVi0UYj1msZNyCzGlaCWEtzc+exjMGbQ==",
+            "cpu": [
+                "x64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "linux"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-linux-x64-musl": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-linux-x64-musl/-/watcher-linux-x64-musl-2.5.6.tgz",
+            "integrity": "sha512-1JRFeC+h7RdXwldHzTsmdtYR/Ku8SylLgTU/reMuqdVD7CtLwf0VR1FqeprZ0eHQkO0vqsbvFLXUmYm/uNKJBg==",
+            "cpu": [
+                "x64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "linux"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-win32-arm64": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-win32-arm64/-/watcher-win32-arm64-2.5.6.tgz",
+            "integrity": "sha512-3ukyebjc6eGlw9yRt678DxVF7rjXatWiHvTXqphZLvo7aC5NdEgFufVwjFfY51ijYEWpXbqF5jtrK275z52D4Q==",
+            "cpu": [
+                "arm64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "win32"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-win32-ia32": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-win32-ia32/-/watcher-win32-ia32-2.5.6.tgz",
+            "integrity": "sha512-k35yLp1ZMwwee3Ez/pxBi5cf4AoBKYXj00CZ80jUz5h8prpiaQsiRPKQMxoLstNuqe2vR4RNPEAEcjEFzhEz/g==",
+            "cpu": [
+                "ia32"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "win32"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/@parcel/watcher-win32-x64": {
+            "version": "2.5.6",
+            "resolved": "https://registry.npmjs.org/@parcel/watcher-win32-x64/-/watcher-win32-x64-2.5.6.tgz",
+            "integrity": "sha512-hbQlYcCq5dlAX9Qx+kFb0FHue6vbjlf0FrNzSKdYK2APUf7tGfGxQCk2ihEREmbR6ZMc0MVAD5RIX/41gpUzTw==",
+            "cpu": [
+                "x64"
+            ],
+            "dev": true,
+            "optional": true,
+            "os": [
+                "win32"
+            ],
+            "engines": {
+                "node": ">= 10.0.0"
+            },
+            "funding": {
+                "type": "opencollective",
+                "url": "https://opencollective.com/parcel"
+            }
+        },
+        "node_modules/chokidar": {
+            "version": "4.0.3",
+            "resolved": "https://registry.npmjs.org/chokidar/-/chokidar-4.0.3.tgz",
+            "integrity": "sha512-Qgzu8kfBvo+cA4962jnP1KkS6Dop5NS6g7R5LFYJr4b8Ub94PPQXUksCw9PvXoeXPRRddRNC5C1JQUR2SMGtnA==",
+            "dev": true,
+            "dependencies": {
+                "readdirp": "^4.0.1"
+            },
+            "engines": {
+                "node": ">= 14.16.0"
+            },
+            "funding": {
+                "url": "https://paulmillr.com/funding/"
+            }
+        },
+        "node_modules/detect-libc": {
+            "version": "2.1.2",
+            "resolved": "https://registry.npmjs.org/detect-libc/-/detect-libc-2.1.2.tgz",
+            "integrity": "sha512-Btj2BOOO83o3WyH59e8MgXsxEQVcarkUOpEYrubB0urwnN10yQ364rsiByU11nZlqWYZm05i/of7io4mzihBtQ==",
+            "dev": true,
+            "optional": true,
+            "engines": {
+                "node": ">=8"
+            }
+        },
+        "node_modules/immutable": {
+            "version": "5.1.5",
+            "resolved": "https://registry.npmjs.org/immutable/-/immutable-5.1.5.tgz",
+            "integrity": "sha512-t7xcm2siw+hlUM68I+UEOK+z84RzmN59as9DZ7P1l0994DKUWV7UXBMQZVxaoMSRQ+PBZbHCOoBt7a2wxOMt+A==",
+            "dev": true
+        },
+        "node_modules/is-extglob": {
+            "version": "2.1.1",
+            "resolved": "https://registry.npmjs.org/is-extglob/-/is-extglob-2.1.1.tgz",
+            "integrity": "sha512-SbKbANkN603Vi4jEZv49LeVJMn4yGwsbzZworEoyEiutsN3nJYdbO36zfhGJ6QEDpOZIFkDtnq5JRxmvl3jsoQ==",
+            "dev": true,
+            "optional": true,
+            "engines": {
+                "node": ">=0.10.0"
+            }
+        },
+        "node_modules/is-glob": {
+            "version": "4.0.3",
+            "resolved": "https://registry.npmjs.org/is-glob/-/is-glob-4.0.3.tgz",
+            "integrity": "sha512-xelSayHH36ZgE7ZWhli7pW34hNbNl8Ojv5KVmkJD4hBdD3th8Tfk9vYasLM+mXWOZhFkgZfxhLSnrwRr4elSSg==",
+            "dev": true,
+            "optional": true,
+            "dependencies": {
+                "is-extglob": "^2.1.1"
+            },
+            "engines": {
+                "node": ">=0.10.0"
+            }
+        },
+        "node_modules/jquery": {
+            "version": "3.7.1",
+            "resolved": "https://registry.npmjs.org/jquery/-/jquery-3.7.1.tgz",
+            "integrity": "sha512-m4avr8yL8kmFN8psrbFFFmB/If14iN5o9nw/NgnnM+kybDJpRsAynV2BsfpTYrTRysYUdADVD7CkUUizgkpLfg=="
+        },
+        "node_modules/node-addon-api": {
+            "version": "7.1.1",
+            "resolved": "https://registry.npmjs.org/node-addon-api/-/node-addon-api-7.1.1.tgz",
+            "integrity": "sha512-5m3bsyrjFWE1xf7nz7YXdN4udnVtXK6/Yfgn5qnahL6bCkf2yKt4k3nuTKAtT4r3IG8JNR2ncsIMdZuAzJjHQQ==",
+            "dev": true,
+            "optional": true
+        },
+        "node_modules/picomatch": {
+            "version": "4.0.3",
+            "resolved": "https://registry.npmjs.org/picomatch/-/picomatch-4.0.3.tgz",
+            "integrity": "sha512-5gTmgEY/sqK6gFXLIsQNH19lWb4ebPDLA4SdLP7dsWkIXHWlG66oPuVvXSGFPppYZz8ZDZq0dYYrbHfBCVUb1Q==",
+            "dev": true,
+            "optional": true,
+            "engines": {
+                "node": ">=12"
+            },
+            "funding": {
+                "url": "https://github.com/sponsors/jonschlinkert"
+            }
+        },
+        "node_modules/readdirp": {
+            "version": "4.1.2",
+            "resolved": "https://registry.npmjs.org/readdirp/-/readdirp-4.1.2.tgz",
+            "integrity": "sha512-GDhwkLfywWL2s6vEjyhri+eXmfH6j1L7JE27WhqLeYzoh/A3DBaYGEj2H/HFZCn/kMfim73FXxEJTw06WtxQwg==",
+            "dev": true,
+            "engines": {
+                "node": ">= 14.18.0"
+            },
+            "funding": {
+                "type": "individual",
+                "url": "https://paulmillr.com/funding/"
+            }
+        },
+        "node_modules/sass": {
+            "version": "1.98.0",
+            "resolved": "https://registry.npmjs.org/sass/-/sass-1.98.0.tgz",
+            "integrity": "sha512-+4N/u9dZ4PrgzGgPlKnaaRQx64RO0JBKs9sDhQ2pLgN6JQZ25uPQZKQYaBJU48Kd5BxgXoJ4e09Dq7nMcOUW3A==",
+            "dev": true,
+            "dependencies": {
+                "chokidar": "^4.0.0",
+                "immutable": "^5.1.5",
+                "source-map-js": ">=0.6.2 <2.0.0"
+            },
+            "bin": {
+                "sass": "sass.js"
+            },
+            "engines": {
+                "node": ">=14.0.0"
+            },
+            "optionalDependencies": {
+                "@parcel/watcher": "^2.4.1"
+            }
+        },
+        "node_modules/source-map-js": {
+            "version": "1.2.1",
+            "resolved": "https://registry.npmjs.org/source-map-js/-/source-map-js-1.2.1.tgz",
+            "integrity": "sha512-UXWMKhLOwVKb728IUtQPXxfYU+usdybtUrK/8uGE8CQMvrhOpwvzDBwj0QhSL7MQc7vIsISBG8VQ8+IDQxpfQA==",
+            "dev": true,
+            "engines": {
+                "node": ">=0.10.0"
+            }
+        },
+        "node_modules/trumbowyg": {
+            "version": "2.31.0",
+            "resolved": "https://registry.npmjs.org/trumbowyg/-/trumbowyg-2.31.0.tgz",
+            "integrity": "sha512-I+DMiluTpLDx3yn6LR0TIVR7xIOjgtBQmpEE6Ofd+2yl5ruzY63q/yA/DfBuRVxdK7yDYSBe9FXpVjM1P2NdtA==",
+            "peerDependencies": {
+                "jquery": ">=1.8"
+            }
+        }
+    }
+}
diff --git a/package.json b/package.json
new file mode 100644
index 0000000..674516e
--- /dev/null
+++ b/package.json
@@ -0,0 +1,20 @@
+{
+    "private": true,
+    "engines": {
+        "node": ">=18"
+    },
+    "scripts": {
+        "build:css": "sass assets/scss:public/assets/css --no-source-map --style=compressed",
+        "build:vendor": "mkdir -p public/assets/vendor && cp node_modules/jquery/dist/jquery.min.js public/assets/vendor/ && cp -r node_modules/trumbowyg/dist public/assets/vendor/trumbowyg",
+        "build": "npm run build:css && npm run build:vendor",
+        "watch": "sass --watch assets/scss:public/assets/css",
+        "clean": "rm -rf public/assets"
+    },
+    "devDependencies": {
+        "sass": "^1.80.0"
+    },
+    "dependencies": {
+        "jquery": "^3.7.0",
+        "trumbowyg": "^2.27.3"
+    }
+}
\ No newline at end of file
diff --git a/phpstan.neon b/phpstan.neon
new file mode 100644
index 0000000..0b050a9
--- /dev/null
+++ b/phpstan.neon
@@ -0,0 +1,6 @@
+parameters:
+    level: 8
+    paths:
+        - src
+    excludePaths:
+        - src/Shared/Bootstrap.php
diff --git a/phpunit.xml b/phpunit.xml
new file mode 100644
index 0000000..963fe00
--- /dev/null
+++ b/phpunit.xml
@@ -0,0 +1,27 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<phpunit xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
+         xsi:noNamespaceSchemaLocation="vendor/phpunit/phpunit/phpunit.xsd"
+         bootstrap="vendor/autoload.php"
+         colors="true"
+         displayDetailsOnTestsThatTriggerDeprecations="true"
+         displayDetailsOnTestsThatTriggerErrors="true"
+         displayDetailsOnTestsThatTriggerNotices="true"
+         displayDetailsOnTestsThatTriggerWarnings="true">
+
+    <testsuites>
+        <testsuite name="slim-blog">
+            <directory>tests</directory>
+        </testsuite>
+    </testsuites>
+
+    <source>
+        <include>
+            <directory>src</directory>
+        </include>
+        <exclude>
+            <file>src/Shared/Bootstrap.php</file>
+            <file>src/Shared/Routes.php</file>
+        </exclude>
+    </source>
+
+</phpunit>
diff --git a/public/favicon.png b/public/favicon.png
new file mode 100644
index 0000000000000000000000000000000000000000..1b1f37a4220b0ca45fef1419d65c2d6b20740236
GIT binary patch
literal 801
zcmV++1K#|JP)<h;3K|Lk000e1NJLTq001BW001Be1^@s6b9#F800009a7bBm0002&
z0002&0eL8Ky#N3J8FWQhbW?9;ba!ELWdL_~cP?peYja~^aAhuUa%Y?FJQ@H10<K9!
zK~z|U?Up}i6JZ#}pZ80Y)~ZO0$u(PxMnq6I)8G(r5tQQKtWcuG{1F5v>Ci#MJ-wFJ
z(!Efp;wTo8Bq9zvh!oL5Fqdefh?;uMeQ$>(<&u1tUYgX!KGPlF_kPch_ul93fIa>1
zqHY~Da_4g|%KNSehFmx0^6R<4A2)U0ZUM0AIVp$^F#zG^0RXN5M7IC{?=b)Xk=f@9
z<lI(u1t1bDXoC0%06>;Mu1r$-p8}YKVC{N?y{qliZaV|vWbP`nxC}}6Gt<5gjq8!g
zXI^v78U_o1`RA)?zj5w%;kc021QC|gsllaI=eO)YC~icVX%XP-EaW}ao>KAD5LoO7
z013GY076<509|9I#ZcUc?g$_hH=;zCt?rQm^hCAK!&asJ#N1PDKM|GzNC1Kev#lVM
z03%6b%x2Ealt@qcA2;qheb?xdpg`r0zpPCAegQx_HMj)A4I9K<D4xIN3ScB@jDhjU
zW**P#{ux#Afs*HhU?Kpp$Wu3bnUuC*gCHW-RS<Om?U+}JYwahqxBuv;#&tIkTL9r$
z;jGPEGUH||^GK|qf#@)Rmf6pwv;}62+aRXSC-Y~T0ECCx$xNkAvcFNrme&@*i<JLO
z<KTo7xtQvJ$Rv9qFbtrYeV^fErW)v%Gyb<t06_CIW6+ceqE!4k1m?QzJDG1cQ%xyw
z1EI?PPRx}6H3<9QFenvD7^46Xi4_h)k$t;D31iglKs&w(v${5KgAjuFA^@xt1>unW
znh3aLGat|D+Psrb%a2i3*XF~C{CAMNAOt_G5L-cj9J3Dq#PR_ISzz%rqc^`n8(`fl
z5-Vt?;86eoTkq3);CVasDz)`L&`I_?252Yyy8=*JD{5}CziR-!1O4A5%O4i3wVvO9
f-*pRMPkY(~BIsW54IJ2)00000NkvXXu0mjfv9WC5

literal 0
HcmV?d00001

diff --git a/public/index.php b/public/index.php
new file mode 100644
index 0000000..d865943
--- /dev/null
+++ b/public/index.php
@@ -0,0 +1,15 @@
+<?php
+declare(strict_types=1);
+
+require __DIR__.'/../vendor/autoload.php';
+
+use App\Shared\Bootstrap;
+
+session_start([
+    'cookie_secure'   => !empty($_SERVER['HTTPS']),
+    'cookie_httponly' => true,
+    'cookie_samesite' => 'Lax',
+]);
+
+$app = Bootstrap::create()->initialize();
+$app->run();
diff --git a/src/Auth/AccountController.php b/src/Auth/AccountController.php
new file mode 100644
index 0000000..d764c2b
--- /dev/null
+++ b/src/Auth/AccountController.php
@@ -0,0 +1,114 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\Exception\WeakPasswordException;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Views\Twig;
+
+/**
+ * Contrôleur pour les actions liées au compte de l'utilisateur connecté.
+ *
+ * Accessible uniquement aux utilisateurs authentifiés (AuthMiddleware).
+ * Actuellement limité au changement de mot de passe, accessible via
+ * le lien « Mon compte » dans le header.
+ */
+final class AccountController
+{
+    /**
+     * @param Twig                    $view           Moteur de templates Twig
+     * @param AuthServiceInterface    $authService    Service d'authentification
+     * @param FlashServiceInterface   $flash          Service de messages flash
+     * @param SessionManagerInterface $sessionManager Gestionnaire de session
+     */
+    public function __construct(
+        private readonly Twig $view,
+        private readonly AuthServiceInterface $authService,
+        private readonly FlashServiceInterface $flash,
+        private readonly SessionManagerInterface $sessionManager,
+    ) {
+    }
+
+    /**
+     * Affiche le formulaire de changement de mot de passe.
+     *
+     * Transmet les messages flash d'erreur et de succès issus
+     * d'une soumission précédente, ainsi que l'URL de retour pour
+     * le bouton Annuler (déduite du Referer, validée pour éviter
+     * les redirections ouvertes vers des domaines externes).
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue pages/account/password-change.twig
+     */
+    public function showChangePassword(Request $req, Response $res): Response
+    {
+        // Récupère l'URL de la page précédente pour le bouton Annuler.
+        // On valide que le Referer est bien une URL relative du site (commence par /)
+        // pour éviter toute redirection vers un domaine externe (open redirect).
+        $referer = $req->getHeaderLine('Referer');
+        $path    = parse_url($referer, PHP_URL_PATH);
+        $path    = is_string($path) ? $path : '';
+        $backUrl = (str_starts_with($path, '/') && $path !== '/account/password')
+            ? $path
+            : '/admin/posts';
+
+        return $this->view->render($res, 'pages/account/password-change.twig', [
+            'error'    => $this->flash->get('password_error'),
+            'success'  => $this->flash->get('password_success'),
+            'back_url' => $backUrl,
+        ]);
+    }
+
+    /**
+     * Traite la soumission du formulaire de changement de mot de passe.
+     *
+     * Vérifie que les deux nouveaux mots de passe sont identiques,
+     * puis délègue la vérification du mot de passe actuel et la mise
+     * à jour à AuthService.
+     *
+     * Note : getUserId() ne peut pas retourner null ici car la route
+     * est protégée par AuthMiddleware. La valeur de repli 0 ne sera
+     * jamais atteinte en pratique.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Une redirection vers /account/password dans tous les cas
+     */
+    public function changePassword(Request $req, Response $res): Response
+    {
+        /** @var array<string, mixed> $data */
+        $data = (array) $req->getParsedBody();
+        $current = trim((string) ($data['current_password'] ?? ''));
+        $new     = trim((string) ($data['new_password'] ?? ''));
+        $confirm = trim((string) ($data['new_password_confirm'] ?? ''));
+
+        // getUserId() ne peut pas être null : route protégée par AuthMiddleware
+        $userId = $this->sessionManager->getUserId() ?? 0;
+
+        if ($new !== $confirm) {
+            $this->flash->set('password_error', 'Les mots de passe ne correspondent pas');
+
+            return $res->withHeader('Location', '/account/password')->withStatus(302);
+        }
+
+        try {
+            $this->authService->changePassword($userId, $current, $new);
+            $this->flash->set('password_success', 'Mot de passe modifié avec succès');
+        } catch (WeakPasswordException) {
+            $this->flash->set('password_error', 'Le nouveau mot de passe doit contenir au moins 8 caractères');
+        } catch (\InvalidArgumentException) {
+            $this->flash->set('password_error', 'Le mot de passe actuel est incorrect');
+        } catch (\Throwable) {
+            $this->flash->set('password_error', 'Une erreur inattendue s\'est produite');
+        }
+
+        return $res->withHeader('Location', '/account/password')->withStatus(302);
+    }
+}
diff --git a/src/Auth/AuthController.php b/src/Auth/AuthController.php
new file mode 100644
index 0000000..0b1ca41
--- /dev/null
+++ b/src/Auth/AuthController.php
@@ -0,0 +1,75 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Shared\Http\ClientIpResolver;
+use App\Shared\Http\FlashServiceInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Views\Twig;
+
+final class AuthController
+{
+    public function __construct(
+        private readonly Twig $view,
+        private readonly AuthServiceInterface $authService,
+        private readonly FlashServiceInterface $flash,
+        private readonly ClientIpResolver $clientIpResolver,
+    ) {
+    }
+
+    public function showLogin(Request $req, Response $res): Response
+    {
+        if ($this->authService->isLoggedIn()) {
+            return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+        }
+
+        return $this->view->render($res, 'pages/auth/login.twig', [
+            'error'   => $this->flash->get('login_error'),
+            'success' => $this->flash->get('login_success'),
+        ]);
+    }
+
+    public function login(Request $req, Response $res): Response
+    {
+        $ip = $this->clientIpResolver->resolve($req);
+        $remainingMinutes = $this->authService->checkRateLimit($ip);
+
+        if ($remainingMinutes > 0) {
+            $this->flash->set(
+                'login_error',
+                "Trop de tentatives. Réessayez dans {$remainingMinutes} minute"
+                    . ($remainingMinutes > 1 ? 's' : '')
+            );
+
+            return $res->withHeader('Location', '/auth/login')->withStatus(302);
+        }
+
+        /** @var array<string, mixed> $data */
+        $data = (array) $req->getParsedBody();
+        $username = trim((string) ($data['username'] ?? ''));
+        $password = trim((string) ($data['password'] ?? ''));
+
+        $user = $this->authService->authenticate($username, $password);
+
+        if ($user === null) {
+            $this->authService->recordFailure($ip);
+            $this->flash->set('login_error', 'Identifiants invalides');
+
+            return $res->withHeader('Location', '/auth/login')->withStatus(302);
+        }
+
+        $this->authService->resetRateLimit($ip);
+        $this->authService->login($user);
+
+        return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+    }
+
+    public function logout(Request $req, Response $res): Response
+    {
+        $this->authService->logout();
+
+        return $res->withHeader('Location', '/')->withStatus(302);
+    }
+}
diff --git a/src/Auth/AuthService.php b/src/Auth/AuthService.php
new file mode 100644
index 0000000..14372e5
--- /dev/null
+++ b/src/Auth/AuthService.php
@@ -0,0 +1,193 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use App\User\UserRepositoryInterface;
+
+/**
+ * Service d'authentification.
+ *
+ * Centralise la logique métier liée à l'authentification :
+ * vérification des identifiants, ouverture et fermeture de session,
+ * changement de mot de passe et protection brute-force par IP.
+ *
+ * La création de comptes est déléguée à UserService (domaine User).
+ * La gestion de la session PHP est entièrement déléguée à SessionManagerInterface.
+ * Les noms d'utilisateurs sont normalisés en minuscules pour garantir
+ * l'insensibilité à la casse.
+ */
+final class AuthService implements AuthServiceInterface
+{
+    /**
+     * Nombre maximum de tentatives échouées avant verrouillage.
+     */
+    private const MAX_ATTEMPTS = 5;
+
+    /**
+     * Durée du verrouillage en minutes après dépassement du seuil.
+     */
+    private const LOCK_MINUTES = 15;
+
+    /**
+     * @param UserRepositoryInterface         $userRepository         Dépôt de persistance des utilisateurs
+     * @param SessionManagerInterface         $sessionManager         Gestionnaire de session PHP
+     * @param LoginAttemptRepositoryInterface $loginAttemptRepository Dépôt des tentatives de connexion
+     */
+    public function __construct(
+        private readonly UserRepositoryInterface $userRepository,
+        private readonly SessionManagerInterface $sessionManager,
+        private readonly LoginAttemptRepositoryInterface $loginAttemptRepository,
+    ) {
+    }
+
+    /**
+     * Vérifie si une adresse IP est actuellement verrouillée.
+     *
+     * Nettoie les entrées expirées avant la vérification. Si l'IP est
+     * verrouillée, retourne le nombre de minutes restantes (arrondi au supérieur,
+     * minimum 1) calculé depuis les timestamps bruts pour éviter les erreurs
+     * d'arithmétique sur DateInterval pour des durées supérieures à 59 minutes.
+     *
+     * @param string $ip Adresse IP du client
+     *
+     * @return int 0 si libre, nombre de minutes restantes si verrouillé
+     */
+    public function checkRateLimit(string $ip): int
+    {
+        $this->loginAttemptRepository->deleteExpired();
+
+        $row = $this->loginAttemptRepository->findByIp($ip);
+
+        if ($row === null || $row['locked_until'] === null) {
+            return 0;
+        }
+
+        $lockedUntil = new \DateTime($row['locked_until']);
+        $now         = new \DateTime();
+
+        if ($lockedUntil <= $now) {
+            return 0;
+        }
+
+        // $diff->i et $diff->h sont des portions de l'intervalle (ex: 1h30 → h=1, i=30),
+        // pas des totaux — la somme serait incorrecte pour des durées > 59 min.
+        // On calcule directement depuis les timestamps bruts.
+        $secondsLeft = $lockedUntil->getTimestamp() - $now->getTimestamp();
+
+        return max(1, (int) ceil($secondsLeft / 60));
+    }
+
+    /**
+     * Enregistre un échec de connexion pour une IP.
+     *
+     * @param string $ip Adresse IP du client
+     * @return void
+     */
+    public function recordFailure(string $ip): void
+    {
+        $this->loginAttemptRepository->recordFailure($ip, self::MAX_ATTEMPTS, self::LOCK_MINUTES);
+    }
+
+    /**
+     * Réinitialise le compteur de tentatives pour une IP (connexion réussie).
+     *
+     * @param string $ip Adresse IP du client
+     */
+    public function resetRateLimit(string $ip): void
+    {
+        $this->loginAttemptRepository->resetForIp($ip);
+    }
+
+    /**
+     * Authentifie un utilisateur par nom d'utilisateur et mot de passe.
+     *
+     * Le nom d'utilisateur est normalisé en minuscules avant la recherche.
+     * Ne gère pas le rate limiting — responsabilité de l'appelant (AuthController).
+     *
+     * @param string $username      Nom d'utilisateur (insensible à la casse)
+     * @param string $plainPassword Mot de passe en clair
+     *
+     * @return User|null L'utilisateur authentifié, ou null si les identifiants sont invalides
+     */
+    public function authenticate(string $username, string $plainPassword): ?User
+    {
+        $user = $this->userRepository->findByUsername(mb_strtolower(trim($username)));
+
+        if ($user === null) {
+            return null;
+        }
+
+        if (!password_verify(trim($plainPassword), $user->getPasswordHash())) {
+            return null;
+        }
+
+        return $user;
+    }
+
+    /**
+     * Modifie le mot de passe de l'utilisateur connecté.
+     *
+     * Vérifie le mot de passe actuel avant d'appliquer le changement.
+     *
+     * @param int    $userId          Identifiant de l'utilisateur
+     * @param string $currentPassword Mot de passe actuel en clair (pour vérification)
+     * @param string $newPassword     Nouveau mot de passe en clair (min. 8 caractères)
+     *
+     * @throws NotFoundException         Si l'utilisateur est introuvable
+     * @throws \InvalidArgumentException Si le mot de passe actuel est incorrect
+     * @throws WeakPasswordException     Si le nouveau mot de passe est trop court
+     * @return void
+     */
+    public function changePassword(int $userId, string $currentPassword, string $newPassword): void
+    {
+        $user = $this->userRepository->findById($userId);
+
+        if ($user === null) {
+            throw new NotFoundException('Utilisateur', $userId);
+        }
+
+        if (!password_verify(trim($currentPassword), $user->getPasswordHash())) {
+            throw new \InvalidArgumentException('Mot de passe actuel incorrect');
+        }
+
+        if (mb_strlen(trim($newPassword)) < 8) {
+            throw new WeakPasswordException();
+        }
+
+        $newHash = password_hash(trim($newPassword), PASSWORD_BCRYPT, ['cost' => 12]);
+        $this->userRepository->updatePassword($userId, $newHash);
+    }
+
+    /**
+     * Vérifie si un utilisateur est actuellement connecté.
+     *
+     * @return bool True si une session utilisateur est active
+     */
+    public function isLoggedIn(): bool
+    {
+        return $this->sessionManager->isAuthenticated();
+    }
+
+    /**
+     * Ouvre une session pour l'utilisateur donné.
+     *
+     * @param User $user L'utilisateur à connecter
+     */
+    public function login(User $user): void
+    {
+        $this->sessionManager->setUser($user->getId(), $user->getUsername(), $user->getRole());
+    }
+
+    /**
+     * Ferme la session de l'utilisateur connecté.
+     */
+    public function logout(): void
+    {
+        $this->sessionManager->destroy();
+    }
+}
diff --git a/src/Auth/AuthServiceInterface.php b/src/Auth/AuthServiceInterface.php
new file mode 100644
index 0000000..11b9427
--- /dev/null
+++ b/src/Auth/AuthServiceInterface.php
@@ -0,0 +1,84 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Shared\Exception\NotFoundException;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+
+/**
+ * Contrat du service d'authentification.
+ *
+ * Permet de mocker le service dans les tests unitaires sans dépendre
+ * de la classe concrète finale AuthService.
+ */
+interface AuthServiceInterface
+{
+    /**
+     * Vérifie si l'adresse IP est actuellement verrouillée par le rate limiter.
+     *
+     * @param string $ip Adresse IP du client
+     *
+     * @return int 0 si libre, nombre de minutes restantes si verrouillé
+     */
+    public function checkRateLimit(string $ip): int;
+
+    /**
+     * Enregistre une tentative de connexion échouée pour une IP.
+     *
+     * @param string $ip Adresse IP du client
+     */
+    public function recordFailure(string $ip): void;
+
+    /**
+     * Réinitialise le compteur de tentatives pour une IP.
+     *
+     * @param string $ip Adresse IP du client
+     * @return void
+     */
+    public function resetRateLimit(string $ip): void;
+
+    /**
+     * Tente d'authentifier un utilisateur par ses identifiants.
+     *
+     * @param string $username      Nom d'utilisateur (insensible à la casse)
+     * @param string $plainPassword Mot de passe en clair
+     *
+     * @return User|null L'utilisateur authentifié, ou null si les identifiants sont invalides
+     */
+    public function authenticate(string $username, string $plainPassword): ?User;
+
+    /**
+     * Change le mot de passe d'un utilisateur après vérification de l'actuel.
+     *
+     * @param int    $userId          Identifiant de l'utilisateur
+     * @param string $currentPassword Mot de passe actuel en clair (pour vérification)
+     * @param string $newPassword     Nouveau mot de passe en clair (min. 8 caractères)
+     *
+     * @throws NotFoundException         Si l'utilisateur est introuvable
+     * @throws \InvalidArgumentException Si le mot de passe actuel est incorrect
+     * @throws WeakPasswordException     Si le nouveau mot de passe est trop court
+     */
+    public function changePassword(int $userId, string $currentPassword, string $newPassword): void;
+
+    /**
+     * Vérifie si une session utilisateur est active.
+     *
+     * @return bool True si une session utilisateur est active
+     */
+    public function isLoggedIn(): bool;
+
+    /**
+     * Ouvre une session pour l'utilisateur donné.
+     *
+     * @param User $user L'utilisateur à connecter
+     */
+    public function login(User $user): void;
+
+    /**
+     * Détruit la session utilisateur courante.
+     * @return void
+     */
+    public function logout(): void;
+}
diff --git a/src/Auth/Exception/InvalidResetTokenException.php b/src/Auth/Exception/InvalidResetTokenException.php
new file mode 100644
index 0000000..3d57cf0
--- /dev/null
+++ b/src/Auth/Exception/InvalidResetTokenException.php
@@ -0,0 +1,16 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth\Exception;
+
+/**
+ * Exception levée lorsqu'un lien de réinitialisation est invalide,
+ * expiré, déjà consommé, ou lié à un utilisateur absent.
+ */
+final class InvalidResetTokenException extends \InvalidArgumentException
+{
+    public function __construct()
+    {
+        parent::__construct('Ce lien de réinitialisation est invalide ou a expiré.');
+    }
+}
diff --git a/src/Auth/LoginAttemptRepository.php b/src/Auth/LoginAttemptRepository.php
new file mode 100644
index 0000000..1def730
--- /dev/null
+++ b/src/Auth/LoginAttemptRepository.php
@@ -0,0 +1,116 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use PDO;
+
+/**
+ * Dépôt de persistance des tentatives de connexion.
+ *
+ * Gère la lecture et l'écriture dans la table `login_attempts` pour
+ * la protection contre le brute-force sur le formulaire de connexion.
+ *
+ * La clé primaire est l'adresse IP — une seule ligne par IP, mise à jour
+ * à chaque tentative (UPSERT). Les entrées dont `locked_until` est dépassé
+ * sont réinitialisées automatiquement lors de la prochaine vérification.
+ */
+final class LoginAttemptRepository implements LoginAttemptRepositoryInterface
+{
+    /**
+     * @param PDO $db Instance de connexion à la base de données
+     */
+    public function __construct(private readonly PDO $db)
+    {
+    }
+
+    /**
+     * Retourne la ligne de tentatives pour une IP donnée, ou null si absente.
+     *
+     * @param string $ip Adresse IP du client
+     *
+     * @return array{ip: string, attempts: int, locked_until: string|null, updated_at: string}|null
+     */
+    public function findByIp(string $ip): ?array
+    {
+        $stmt = $this->db->prepare('SELECT * FROM login_attempts WHERE ip = :ip');
+        $stmt->execute([':ip' => $ip]);
+
+        /** @var array{ip: string, attempts: int, locked_until: string|null, updated_at: string}|false $row */
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ?: null;
+    }
+
+    /**
+     * Enregistre un échec de connexion pour une IP via un UPSERT atomique.
+     *
+     * Une seule opération SQL insère la ligne si elle n'existe pas, ou incrémente
+     * le compteur si elle existe déjà. L'atomicité élimine la race condition
+     * présente dans un pattern SELECT + INSERT/UPDATE séparé.
+     *
+     * Le paramètre locked_until est calculé côté PHP avant la requête afin de
+     * garder la logique lisible et testable ; il est passé deux fois (une pour
+     * le cas INSERT, une pour le cas UPDATE) car PDO interdit les paramètres nommés
+     * dupliqués dans une même requête préparée.
+     *
+     * Requiert SQLite >= 3.24 (juin 2018) pour la syntaxe ON CONFLICT DO UPDATE.
+     *
+     * @param string $ip          Adresse IP du client
+     * @param int    $maxAttempts Nombre d'échecs avant verrouillage
+     * @param int    $lockMinutes Durée du verrouillage en minutes
+     */
+    public function recordFailure(string $ip, int $maxAttempts, int $lockMinutes): void
+    {
+        $now       = (new \DateTime())->format('Y-m-d H:i:s');
+        $lockUntil = (new \DateTime())->modify("+{$lockMinutes} minutes")->format('Y-m-d H:i:s');
+
+        $stmt = $this->db->prepare(
+            'INSERT INTO login_attempts (ip, attempts, locked_until, updated_at)
+             VALUES (:ip, 1, CASE WHEN 1 >= :max1 THEN :lock1 ELSE NULL END, :now1)
+             ON CONFLICT(ip) DO UPDATE SET
+                 attempts     = login_attempts.attempts + 1,
+                 locked_until = CASE WHEN login_attempts.attempts + 1 >= :max2
+                                     THEN :lock2
+                                     ELSE NULL END,
+                 updated_at   = :now2'
+        );
+
+        $stmt->execute([
+            ':ip'    => $ip,
+            ':max1'  => $maxAttempts,
+            ':lock1' => $lockUntil,
+            ':now1'  => $now,
+            ':max2'  => $maxAttempts,
+            ':lock2' => $lockUntil,
+            ':now2'  => $now,
+        ]);
+    }
+
+    /**
+     * Réinitialise le compteur de tentatives pour une IP (connexion réussie).
+     *
+     * @param string $ip Adresse IP du client
+     * @return void
+     */
+    public function resetForIp(string $ip): void
+    {
+        $stmt = $this->db->prepare('DELETE FROM login_attempts WHERE ip = :ip');
+        $stmt->execute([':ip' => $ip]);
+    }
+
+    /**
+     * Supprime les entrées dont le verrouillage est expiré.
+     *
+     * Appelé à chaque tentative de connexion pour éviter l'accumulation
+     * de lignes obsolètes sans tâche planifiée externe.
+     */
+    public function deleteExpired(): void
+    {
+        $now  = (new \DateTime())->format('Y-m-d H:i:s');
+        $stmt = $this->db->prepare(
+            'DELETE FROM login_attempts WHERE locked_until IS NOT NULL AND locked_until < :now'
+        );
+        $stmt->execute([':now' => $now]);
+    }
+}
diff --git a/src/Auth/LoginAttemptRepositoryInterface.php b/src/Auth/LoginAttemptRepositoryInterface.php
new file mode 100644
index 0000000..11a20fc
--- /dev/null
+++ b/src/Auth/LoginAttemptRepositoryInterface.php
@@ -0,0 +1,44 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+/**
+ * Contrat de persistance des tentatives de connexion.
+ *
+ * Découple AuthService de l'implémentation concrète PDO/SQLite,
+ * facilitant les mocks dans les tests unitaires.
+ */
+interface LoginAttemptRepositoryInterface
+{
+    /**
+     * Retourne la ligne de tentatives pour une IP donnée, ou null si absente.
+     *
+     * @param string $ip Adresse IP du client
+     *
+     * @return array{ip: string, attempts: int, locked_until: string|null, updated_at: string}|null
+     */
+    public function findByIp(string $ip): ?array;
+
+    /**
+     * Enregistre un échec de connexion pour une IP (INSERT ou UPDATE).
+     *
+     * @param string $ip          Adresse IP du client
+     * @param int    $maxAttempts Nombre d'échecs avant verrouillage
+     * @param int    $lockMinutes Durée du verrouillage en minutes
+     */
+    public function recordFailure(string $ip, int $maxAttempts, int $lockMinutes): void;
+
+    /**
+     * Réinitialise le compteur de tentatives pour une IP (connexion réussie).
+     *
+     * @param string $ip Adresse IP du client
+     * @return void
+     */
+    public function resetForIp(string $ip): void;
+
+    /**
+     * Supprime les entrées dont le verrouillage est expiré.
+     */
+    public function deleteExpired(): void;
+}
diff --git a/src/Auth/Middleware/AdminMiddleware.php b/src/Auth/Middleware/AdminMiddleware.php
new file mode 100644
index 0000000..6318092
--- /dev/null
+++ b/src/Auth/Middleware/AdminMiddleware.php
@@ -0,0 +1,50 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth\Middleware;
+
+use App\Shared\Http\SessionManagerInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Psr\Http\Server\MiddlewareInterface;
+use Psr\Http\Server\RequestHandlerInterface as RequestHandler;
+use Slim\Psr7\Response as SlimResponse;
+
+/**
+ * Middleware de protection des routes réservées aux administrateurs.
+ *
+ * Intercepte les requêtes et redirige vers /admin/posts si l'utilisateur
+ * connecté n'a pas le rôle 'admin'.
+ *
+ * Ce middleware doit être utilisé en complément de AuthMiddleware,
+ * qui vérifie en amont que l'utilisateur est connecté.
+ * Ordre dans la chaîne Slim : ->add($adminMiddleware)->add($authMiddleware)
+ */
+final class AdminMiddleware implements MiddlewareInterface
+{
+    /**
+     * @param SessionManagerInterface $sessionManager Gestionnaire de session (lecture du rôle admin)
+     */
+    public function __construct(private readonly SessionManagerInterface $sessionManager)
+    {
+    }
+
+    /**
+     * Vérifie le rôle admin avant de transmettre la requête au gestionnaire suivant.
+     *
+     * @param Request        $request La requête HTTP entrante
+     * @param RequestHandler $handler Le gestionnaire suivant dans la chaîne de middlewares
+     *
+     * @return Response Une redirection 302 vers /admin/posts, ou la réponse normale
+     */
+    public function process(Request $request, RequestHandler $handler): Response
+    {
+        if (!$this->sessionManager->isAdmin()) {
+            return (new SlimResponse())
+                ->withHeader('Location', '/admin/posts')
+                ->withStatus(302);
+        }
+
+        return $handler->handle($request);
+    }
+}
diff --git a/src/Auth/Middleware/AuthMiddleware.php b/src/Auth/Middleware/AuthMiddleware.php
new file mode 100644
index 0000000..a393e68
--- /dev/null
+++ b/src/Auth/Middleware/AuthMiddleware.php
@@ -0,0 +1,47 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth\Middleware;
+
+use App\Shared\Http\SessionManagerInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Psr\Http\Server\MiddlewareInterface;
+use Psr\Http\Server\RequestHandlerInterface as RequestHandler;
+use Slim\Psr7\Response as SlimResponse;
+
+/**
+ * Middleware de protection des routes réservées aux utilisateurs connectés.
+ *
+ * Intercepte les requêtes entrantes et redirige vers /auth/login
+ * si aucune session utilisateur n'est active.
+ * Doit être appliqué avant AdminMiddleware dans la chaîne.
+ */
+final class AuthMiddleware implements MiddlewareInterface
+{
+    /**
+     * @param SessionManagerInterface $sessionManager Gestionnaire de session (vérification de l'authentification)
+     */
+    public function __construct(private readonly SessionManagerInterface $sessionManager)
+    {
+    }
+
+    /**
+     * Vérifie l'authentification avant de transmettre la requête au gestionnaire suivant.
+     *
+     * @param Request        $request La requête HTTP entrante
+     * @param RequestHandler $handler Le gestionnaire suivant dans la chaîne de middlewares
+     *
+     * @return Response Une redirection 302 vers /auth/login, ou la réponse normale
+     */
+    public function process(Request $request, RequestHandler $handler): Response
+    {
+        if (!$this->sessionManager->isAuthenticated()) {
+            return (new SlimResponse())
+                ->withHeader('Location', '/auth/login')
+                ->withStatus(302);
+        }
+
+        return $handler->handle($request);
+    }
+}
diff --git a/src/Auth/Middleware/EditorMiddleware.php b/src/Auth/Middleware/EditorMiddleware.php
new file mode 100644
index 0000000..6022242
--- /dev/null
+++ b/src/Auth/Middleware/EditorMiddleware.php
@@ -0,0 +1,50 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth\Middleware;
+
+use App\Shared\Http\SessionManagerInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Psr\Http\Server\MiddlewareInterface;
+use Psr\Http\Server\RequestHandlerInterface as RequestHandler;
+use Slim\Psr7\Response as SlimResponse;
+
+/**
+ * Middleware de protection des routes réservées aux éditeurs et administrateurs.
+ *
+ * Intercepte les requêtes et redirige vers /admin/posts si l'utilisateur
+ * connecté n'a ni le rôle 'editor' ni le rôle 'admin'.
+ *
+ * Ce middleware doit être utilisé en complément de AuthMiddleware,
+ * qui vérifie en amont que l'utilisateur est connecté.
+ * Ordre dans la chaîne Slim : ->add($editorMiddleware)->add($authMiddleware)
+ */
+final class EditorMiddleware implements MiddlewareInterface
+{
+    /**
+     * @param SessionManagerInterface $sessionManager Gestionnaire de session (lecture du rôle)
+     */
+    public function __construct(private readonly SessionManagerInterface $sessionManager)
+    {
+    }
+
+    /**
+     * Vérifie le rôle (editor ou admin) avant de transmettre la requête au gestionnaire suivant.
+     *
+     * @param Request        $request La requête HTTP entrante
+     * @param RequestHandler $handler Le gestionnaire suivant dans la chaîne de middlewares
+     *
+     * @return Response Une redirection 302 vers /admin/posts, ou la réponse normale
+     */
+    public function process(Request $request, RequestHandler $handler): Response
+    {
+        if (!$this->sessionManager->isAdmin() && !$this->sessionManager->isEditor()) {
+            return (new SlimResponse())
+                ->withHeader('Location', '/admin/posts')
+                ->withStatus(302);
+        }
+
+        return $handler->handle($request);
+    }
+}
diff --git a/src/Auth/PasswordResetController.php b/src/Auth/PasswordResetController.php
new file mode 100644
index 0000000..762b09f
--- /dev/null
+++ b/src/Auth/PasswordResetController.php
@@ -0,0 +1,218 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Auth\Exception\InvalidResetTokenException;
+use App\Shared\Http\FlashServiceInterface;
+use App\User\Exception\WeakPasswordException;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Views\Twig;
+
+/**
+ * Contrôleur de réinitialisation de mot de passe.
+ *
+ * Gère le flux en deux étapes :
+ *  1. Demande de réinitialisation : saisie de l'email (GET/POST /password/forgot)
+ *  2. Réinitialisation effective  : saisie du nouveau mot de passe (GET/POST /password/reset)
+ *
+ * Sécurité :
+ *  - Le formulaire de demande affiche toujours un message de succès générique,
+ *    même si l'email est inconnu, pour éviter l'énumération des comptes.
+ *  - Le token est transmis uniquement via l'URL (GET) et un champ hidden (POST),
+ *    jamais via la session.
+ *  - Le endpoint POST /password/forgot est soumis au même rate limiting par IP
+ *    que le login : 5 tentatives autorisées, verrouillage 15 min au-delà.
+ *    Toute tentative est comptabilisée — il n'existe pas de "succès" identifiable
+ *    sans révéler si l'adresse est enregistrée (anti-énumération).
+ */
+final class PasswordResetController
+{
+    /**
+     * @param Twig                          $view                Moteur de templates Twig
+     * @param PasswordResetServiceInterface $passwordResetService Service de réinitialisation
+     * @param AuthServiceInterface          $authService         Service d'authentification (rate limiting)
+     * @param FlashServiceInterface         $flash               Service de messages flash
+     * @param string                        $baseUrl             URL de base de l'application (depuis APP_URL dans .env)
+     */
+    public function __construct(
+        private readonly Twig $view,
+        private readonly PasswordResetServiceInterface $passwordResetService,
+        private readonly AuthServiceInterface $authService,
+        private readonly FlashServiceInterface $flash,
+        private readonly string $baseUrl,
+    ) {
+    }
+
+    /**
+     * Affiche le formulaire de demande de réinitialisation.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue pages/auth/password-forgot.twig
+     */
+    public function showForgot(Request $req, Response $res): Response
+    {
+        return $this->view->render($res, 'pages/auth/password-forgot.twig', [
+            'error'   => $this->flash->get('reset_error'),
+            'success' => $this->flash->get('reset_success'),
+        ]);
+    }
+
+    /**
+     * Traite la demande de réinitialisation.
+     *
+     * Vérifie d'abord le rate limit par IP. Toute tentative est enregistrée
+     * comme un échec — qu'un email existe ou non — afin de ne pas déséquilibrer
+     * le compteur en fonction du résultat, ce qui permettrait de déduire
+     * l'existence d'un compte (canal caché sur le rate-limit).
+     *
+     * Génère un token et envoie l'email si l'adresse existe.
+     * Affiche toujours un message de succès générique — ne révèle pas
+     * si l'adresse est enregistrée (protection contre l'énumération).
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Redirection vers /password/forgot avec message flash
+     */
+    public function forgot(Request $req, Response $res): Response
+    {
+        // Résolution de l'IP réelle derrière un reverse proxy (Caddy/Nginx).
+        // Même logique que AuthController::login() — voir son commentaire pour le détail.
+        $serverParams = $req->getServerParams();
+        $forwarded    = trim((string) ($serverParams['HTTP_X_FORWARDED_FOR'] ?? ''));
+        $ip           = $forwarded !== '' && $forwarded !== '0.0.0.0'
+            ? trim(explode(',', $forwarded)[0])
+            : ($serverParams['REMOTE_ADDR'] ?? '0.0.0.0');
+
+        // Vérification du rate limit avant tout traitement
+        $remainingMinutes = $this->authService->checkRateLimit($ip);
+
+        if ($remainingMinutes > 0) {
+            $this->flash->set(
+                'reset_error',
+                "Trop de demandes. Veuillez réessayer dans {$remainingMinutes} minute"
+                    . ($remainingMinutes > 1 ? 's' : '')
+            );
+
+            return $res->withHeader('Location', '/password/forgot')->withStatus(302);
+        }
+
+        /** @var array<string, mixed> $data */
+        $data  = (array) $req->getParsedBody();
+        $email = trim((string) ($data['email'] ?? ''));
+
+        // La tentative est enregistrée systématiquement, résultat connu ou non.
+        // Réinitialiser le compteur uniquement en cas de succès révélerait si
+        // l'adresse existe (canal caché : compteur remis à zéro = email valide).
+        $this->authService->recordFailure($ip);
+
+        try {
+            $this->passwordResetService->requestReset($email, $this->baseUrl);
+        } catch (\RuntimeException) {
+            // Erreur d'envoi d'email — on n'expose pas le détail à l'utilisateur
+            $this->flash->set('reset_error', 'Une erreur est survenue. Veuillez réessayer.');
+
+            return $res->withHeader('Location', '/password/forgot')->withStatus(302);
+        }
+
+        // Message générique — ne révèle pas si l'email est connu
+        $this->flash->set(
+            'reset_success',
+            'Si cette adresse est associée à un compte, un email de réinitialisation a été envoyé'
+        );
+
+        return $res->withHeader('Location', '/password/forgot')->withStatus(302);
+    }
+
+    /**
+     * Affiche le formulaire de saisie du nouveau mot de passe.
+     *
+     * Valide le token en amont — redirige vers /password/forgot avec un message
+     * d'erreur si le token est absent, invalide ou expiré.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue pages/auth/password-reset.twig ou une redirection
+     */
+    public function showReset(Request $req, Response $res): Response
+    {
+        $token = trim((string) ($req->getQueryParams()['token'] ?? ''));
+
+        if ($token === '') {
+            $this->flash->set('reset_error', 'Lien de réinitialisation manquant');
+
+            return $res->withHeader('Location', '/password/forgot')->withStatus(302);
+        }
+
+        $user = $this->passwordResetService->validateToken($token);
+
+        if ($user === null) {
+            $this->flash->set('reset_error', 'Ce lien est invalide ou a expiré. Veuillez faire une nouvelle demande.');
+
+            return $res->withHeader('Location', '/password/forgot')->withStatus(302);
+        }
+
+        return $this->view->render($res, 'pages/auth/password-reset.twig', [
+            'token' => $token,
+            'error' => $this->flash->get('reset_error'),
+        ]);
+    }
+
+    /**
+     * Traite la soumission du nouveau mot de passe.
+     *
+     * Vérifie que les deux mots de passe correspondent, puis délègue
+     * la validation du token et la mise à jour à PasswordResetServiceInterface.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Redirection vers /auth/login en cas de succès,
+     *                  ou vers /password/reset?token=… en cas d'erreur
+     */
+    public function reset(Request $req, Response $res): Response
+    {
+        /** @var array<string, mixed> $data */
+        $data    = (array) $req->getParsedBody();
+        $token   = trim((string) ($data['token'] ?? ''));
+        $new     = trim((string) ($data['new_password'] ?? ''));
+        $confirm = trim((string) ($data['new_password_confirm'] ?? ''));
+
+        if ($token === '') {
+            $this->flash->set('reset_error', 'Lien de réinitialisation manquant');
+
+            return $res->withHeader('Location', '/password/forgot')->withStatus(302);
+        }
+
+        if ($new !== $confirm) {
+            $this->flash->set('reset_error', 'Les mots de passe ne correspondent pas');
+
+            return $res->withHeader('Location', '/password/reset?token=' . urlencode($token))->withStatus(302);
+        }
+
+        try {
+            $this->passwordResetService->resetPassword($token, $new);
+        } catch (WeakPasswordException) {
+            $this->flash->set('reset_error', 'Le mot de passe doit contenir au moins 8 caractères');
+
+            return $res->withHeader('Location', '/password/reset?token=' . urlencode($token))->withStatus(302);
+        } catch (InvalidResetTokenException) {
+            $this->flash->set('reset_error', 'Ce lien de réinitialisation est invalide ou a expiré');
+
+            return $res->withHeader('Location', '/password/reset?token=' . urlencode($token))->withStatus(302);
+        } catch (\Throwable) {
+            $this->flash->set('reset_error', 'Une erreur inattendue s\'est produite');
+
+            return $res->withHeader('Location', '/password/reset?token=' . urlencode($token))->withStatus(302);
+        }
+
+        $this->flash->set('login_success', 'Mot de passe réinitialisé avec succès. Vous pouvez vous connecter');
+
+        return $res->withHeader('Location', '/auth/login')->withStatus(302);
+    }
+}
diff --git a/src/Auth/PasswordResetRepository.php b/src/Auth/PasswordResetRepository.php
new file mode 100644
index 0000000..1a535ef
--- /dev/null
+++ b/src/Auth/PasswordResetRepository.php
@@ -0,0 +1,74 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use PDO;
+
+final class PasswordResetRepository implements PasswordResetRepositoryInterface
+{
+    public function __construct(private readonly PDO $db)
+    {
+    }
+
+    public function create(int $userId, string $tokenHash, string $expiresAt): void
+    {
+        $stmt = $this->db->prepare('
+            INSERT INTO password_resets (user_id, token_hash, expires_at, created_at)
+            VALUES (:user_id, :token_hash, :expires_at, :created_at)
+        ');
+
+        $stmt->execute([
+            ':user_id'    => $userId,
+            ':token_hash' => $tokenHash,
+            ':expires_at' => $expiresAt,
+            ':created_at' => date('Y-m-d H:i:s'),
+        ]);
+    }
+
+    public function findActiveByHash(string $tokenHash): ?array
+    {
+        $stmt = $this->db->prepare(
+            'SELECT * FROM password_resets WHERE token_hash = :token_hash AND used_at IS NULL'
+        );
+        $stmt->execute([':token_hash' => $tokenHash]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ?: null;
+    }
+
+    public function invalidateByUserId(int $userId): void
+    {
+        $stmt = $this->db->prepare(
+            'UPDATE password_resets SET used_at = :used_at WHERE user_id = :user_id AND used_at IS NULL'
+        );
+        $stmt->execute([':used_at' => date('Y-m-d H:i:s'), ':user_id' => $userId]);
+    }
+
+    /**
+     * Atomically consume a token and return the affected row.
+     * Uses UPDATE ... RETURNING to avoid SELECT+UPDATE race conditions.
+     */
+    public function consumeActiveToken(string $tokenHash, string $usedAt): ?array
+    {
+        $stmt = $this->db->prepare(
+            'UPDATE password_resets
+             SET used_at = :used_at
+             WHERE token_hash = :token_hash
+               AND used_at IS NULL
+               AND expires_at >= :now
+             RETURNING *'
+        );
+
+        $stmt->execute([
+            ':used_at'    => $usedAt,
+            ':token_hash' => $tokenHash,
+            ':now'        => $usedAt,
+        ]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ?: null;
+    }
+}
diff --git a/src/Auth/PasswordResetRepositoryInterface.php b/src/Auth/PasswordResetRepositoryInterface.php
new file mode 100644
index 0000000..9aedd54
--- /dev/null
+++ b/src/Auth/PasswordResetRepositoryInterface.php
@@ -0,0 +1,21 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+interface PasswordResetRepositoryInterface
+{
+    public function create(int $userId, string $tokenHash, string $expiresAt): void;
+
+    /**
+ * Consomme atomiquement un token non utilisé et non expiré.
+ *
+ * L'implémentation doit effectuer l'opération en une seule étape SQL
+ * afin d'éviter les courses entre lecture et écriture.
+ *
+ * @param string $tokenHash Hash SHA-256 du token de reset
+ * @param string $usedAt Horodatage de consommation au format SQL
+ * @return array<string, mixed>|null Les données du token consommé, ou null si le token est invalide, expiré ou déjà utilisé
+ */
+public function consumeActiveToken(string $tokenHash, string $usedAt): ?array;
+}
diff --git a/src/Auth/PasswordResetService.php b/src/Auth/PasswordResetService.php
new file mode 100644
index 0000000..8409fc6
--- /dev/null
+++ b/src/Auth/PasswordResetService.php
@@ -0,0 +1,105 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Auth\Exception\InvalidResetTokenException;
+use App\Shared\Mail\MailServiceInterface;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use App\User\UserRepositoryInterface;
+use PDO;
+
+final class PasswordResetService implements PasswordResetServiceInterface
+{
+    private const TOKEN_TTL_MINUTES = 60;
+
+    public function __construct(
+        private readonly PasswordResetRepositoryInterface $passwordResetRepository,
+        private readonly UserRepositoryInterface $userRepository,
+        private readonly MailServiceInterface $mailService,
+        private readonly PDO $db,
+    ) {
+    }
+
+    public function requestReset(string $email, string $baseUrl): void
+    {
+        $user = $this->userRepository->findByEmail(mb_strtolower(trim($email)));
+
+        if ($user === null) {
+            return;
+        }
+
+        $this->passwordResetRepository->invalidateByUserId($user->getId());
+
+        $tokenRaw  = bin2hex(random_bytes(32));
+        $tokenHash = hash('sha256', $tokenRaw);
+        $expiresAt = date('Y-m-d H:i:s', time() + self::TOKEN_TTL_MINUTES * 60);
+
+        $this->passwordResetRepository->create($user->getId(), $tokenHash, $expiresAt);
+
+        $resetUrl = rtrim($baseUrl, '/') . '/password/reset?token=' . $tokenRaw;
+
+        $this->mailService->send(
+            to:       $user->getEmail(),
+            subject:  'Réinitialisation de votre mot de passe',
+            template: 'emails/password-reset.twig',
+            context:  [
+                'username'   => $user->getUsername(),
+                'resetUrl'   => $resetUrl,
+                'ttlMinutes' => self::TOKEN_TTL_MINUTES,
+            ]
+        );
+    }
+
+    public function validateToken(string $tokenRaw): ?User
+    {
+        $tokenHash = hash('sha256', $tokenRaw);
+        $row       = $this->passwordResetRepository->findActiveByHash($tokenHash);
+
+        if ($row === null) {
+            return null;
+        }
+
+        if (strtotime((string) $row['expires_at']) < time()) {
+            return null;
+        }
+
+        return $this->userRepository->findById((int) $row['user_id']);
+    }
+
+    public function resetPassword(string $tokenRaw, string $newPassword): void
+    {
+        if (mb_strlen(trim($newPassword)) < 8) {
+            throw new WeakPasswordException();
+        }
+
+        $usedAt  = date('Y-m-d H:i:s');
+        $newHash = password_hash(trim($newPassword), PASSWORD_BCRYPT, ['cost' => 12]);
+
+        $this->db->beginTransaction();
+
+        try {
+            $row = $this->passwordResetRepository->consumeActiveToken(hash('sha256', $tokenRaw), $usedAt);
+
+            if ($row === null) {
+                throw new InvalidResetTokenException();
+            }
+
+            $user = $this->userRepository->findById((int) $row['user_id']);
+
+            if ($user === null) {
+                throw new InvalidResetTokenException();
+            }
+
+            $this->userRepository->updatePassword($user->getId(), $newHash);
+            $this->db->commit();
+        } catch (\Throwable $e) {
+            if ($this->db->inTransaction()) {
+                $this->db->rollBack();
+            }
+
+            throw $e;
+        }
+    }
+}
diff --git a/src/Auth/PasswordResetServiceInterface.php b/src/Auth/PasswordResetServiceInterface.php
new file mode 100644
index 0000000..eb9f403
--- /dev/null
+++ b/src/Auth/PasswordResetServiceInterface.php
@@ -0,0 +1,56 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Auth;
+
+use App\Auth\Exception\InvalidResetTokenException;
+use App\User\User;
+
+/**
+ * Contrat du service de réinitialisation de mot de passe.
+ *
+ * Définit les trois opérations du flux de réinitialisation :
+ *  1. Demande (génération du token + envoi d'e-mail)
+ *  2. Validation du token reçu par e-mail
+ *  3. Réinitialisation effective du mot de passe
+ */
+interface PasswordResetServiceInterface
+{
+    /**
+     * Génère un token de réinitialisation et envoie le lien par e-mail.
+     *
+     * Retour silencieux si l'e-mail est inconnu — ne révèle pas l'existence du compte.
+     *
+     * @param string $email   Adresse e-mail de l'utilisateur
+     * @param string $baseUrl URL de base de l'application (pour construire le lien)
+     *
+     * @throws \RuntimeException Si l'envoi de l'e-mail échoue
+     */
+    public function requestReset(string $email, string $baseUrl): void;
+
+    /**
+     * Valide un token brut reçu dans l'URL.
+     *
+     * Calcule le hash SHA-256 du token, vérifie son existence en base
+     * et s'assure qu'il n'est pas expiré ni déjà consommé.
+     *
+     * @param string $tokenRaw Token brut reçu en clair dans l'URL
+     *
+     * @return User|null L'utilisateur associé au token, ou null si invalide/expiré
+     */
+    public function validateToken(string $tokenRaw): ?User;
+
+    /**
+     * Réinitialise le mot de passe d'un utilisateur.
+     *
+     * Valide le token, hache le nouveau mot de passe, met à jour la base
+     * et marque le token comme consommé.
+     *
+     * @param string $tokenRaw    Token brut reçu dans l'URL
+     * @param string $newPassword Nouveau mot de passe en clair
+     *
+     * @throws InvalidResetTokenException     Si le token est invalide ou expiré
+     * @throws \App\User\Exception\WeakPasswordException Si le mot de passe est trop court
+     */
+    public function resetPassword(string $tokenRaw, string $newPassword): void;
+}
diff --git a/src/Category/Category.php b/src/Category/Category.php
new file mode 100644
index 0000000..61799bf
--- /dev/null
+++ b/src/Category/Category.php
@@ -0,0 +1,91 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Category;
+
+/**
+ * Modèle représentant une catégorie d'articles.
+ *
+ * Ce modèle est immuable après construction.
+ * La génération de slug est déléguée à SlugHelper::generate() dans CategoryService,
+ * avant la construction de l'objet.
+ */
+final class Category
+{
+    /**
+     * @param int    $id   Identifiant en base (0 pour une nouvelle catégorie)
+     * @param string $name Nom de la catégorie (1–100 caractères)
+     * @param string $slug Slug URL de la catégorie
+     *
+     * @throws \InvalidArgumentException Si les données ne passent pas la validation
+     */
+    public function __construct(
+        private readonly int $id,
+        private readonly string $name,
+        private readonly string $slug,
+    ) {
+        $this->validate();
+    }
+
+    /**
+     * Crée une instance depuis un tableau associatif (ligne de base de données).
+     *
+     * @param array<string, mixed> $data Données issues de la base de données
+     *
+     * @return self L'instance hydratée
+     */
+    public static function fromArray(array $data): self
+    {
+        return new self(
+            id:   (int) ($data['id'] ?? 0),
+            name: (string) ($data['name'] ?? ''),
+            slug: (string) ($data['slug'] ?? ''),
+        );
+    }
+
+    /**
+     * Retourne l'identifiant de la catégorie.
+     *
+     * @return int L'identifiant en base (0 si non encore persisté)
+     */
+    public function getId(): int
+    {
+        return $this->id;
+    }
+
+    /**
+     * Retourne le nom de la catégorie.
+     *
+     * @return string Le nom
+     */
+    public function getName(): string
+    {
+        return $this->name;
+    }
+
+    /**
+     * Retourne le slug URL de la catégorie.
+     *
+     * @return string Le slug
+     */
+    public function getSlug(): string
+    {
+        return $this->slug;
+    }
+
+    /**
+     * Valide les données de la catégorie.
+     *
+     * @throws \InvalidArgumentException Si le nom est vide ou dépasse 100 caractères
+     */
+    private function validate(): void
+    {
+        if ($this->name === '') {
+            throw new \InvalidArgumentException('Le nom de la catégorie ne peut pas être vide');
+        }
+
+        if (mb_strlen($this->name) > 100) {
+            throw new \InvalidArgumentException('Le nom de la catégorie ne peut pas dépasser 100 caractères');
+        }
+    }
+}
diff --git a/src/Category/CategoryController.php b/src/Category/CategoryController.php
new file mode 100644
index 0000000..8e6f5c7
--- /dev/null
+++ b/src/Category/CategoryController.php
@@ -0,0 +1,114 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Category;
+
+use App\Shared\Http\FlashServiceInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Views\Twig;
+
+/**
+ * Contrôleur pour la gestion des catégories.
+ *
+ * Accessible aux éditeurs et administrateurs (protégé par EditorMiddleware).
+ * Gère la liste des catégories, leur création et leur suppression.
+ * Toute la logique métier (génération de slug, validations, blocage de
+ * suppression) est déléguée à CategoryService.
+ */
+final class CategoryController
+{
+    /**
+     * @param Twig                    $view            Moteur de templates Twig
+     * @param CategoryServiceInterface $categoryService Service de gestion des catégories
+     * @param FlashServiceInterface    $flash           Service de messages flash
+     */
+    public function __construct(
+        private readonly Twig $view,
+        private readonly CategoryServiceInterface $categoryService,
+        private readonly FlashServiceInterface $flash,
+    ) {
+    }
+
+    /**
+     * Affiche la liste des catégories avec le formulaire de création.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue de gestion des catégories
+     */
+    public function index(Request $req, Response $res): Response
+    {
+        return $this->view->render($res, 'admin/categories/index.twig', [
+            'categories' => $this->categoryService->findAll(),
+            'error'      => $this->flash->get('category_error'),
+            'success'    => $this->flash->get('category_success'),
+        ]);
+    }
+
+    /**
+     * Traite la création d'une catégorie.
+     *
+     * Délègue entièrement à CategoryService::create() qui gère la génération
+     * du slug, la validation d'unicité et la validation du modèle.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Une redirection vers /admin/categories
+     */
+    public function create(Request $req, Response $res): Response
+    {
+        /** @var array<string, mixed> $data */
+        $data = (array) $req->getParsedBody();
+        $name = (string) ($data['name'] ?? '');
+
+        try {
+            $this->categoryService->create($name);
+            $trimmed = trim($name);
+            $this->flash->set('category_success', "La catégorie « {$trimmed} » a été créée avec succès");
+        } catch (\InvalidArgumentException $e) {
+            $this->flash->set('category_error', $e->getMessage());
+        } catch (\Throwable) {
+            $this->flash->set('category_error', "Une erreur inattendue s'est produite");
+        }
+
+        return $res->withHeader('Location', '/admin/categories')->withStatus(302);
+    }
+
+    /**
+     * Supprime une catégorie.
+     *
+     * Délègue à CategoryService::delete() qui refuse la suppression si des
+     * articles sont rattachés à la catégorie.
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Paramètres de route (id)
+     *
+     * @return Response Une redirection vers /admin/categories
+     */
+    public function delete(Request $req, Response $res, array $args): Response
+    {
+        $id       = (int) ($args['id'] ?? 0);
+        $category = $this->categoryService->findById($id);
+
+        if ($category === null) {
+            $this->flash->set('category_error', 'Catégorie introuvable');
+
+            return $res->withHeader('Location', '/admin/categories')->withStatus(302);
+        }
+
+        try {
+            $this->categoryService->delete($category);
+            $this->flash->set('category_success', "La catégorie « {$category->getName()} » a été supprimée");
+        } catch (\InvalidArgumentException $e) {
+            $this->flash->set('category_error', $e->getMessage());
+        } catch (\Throwable) {
+            $this->flash->set('category_error', "Une erreur inattendue s'est produite");
+        }
+
+        return $res->withHeader('Location', '/admin/categories')->withStatus(302);
+    }
+}
diff --git a/src/Category/CategoryRepository.php b/src/Category/CategoryRepository.php
new file mode 100644
index 0000000..c5607c4
--- /dev/null
+++ b/src/Category/CategoryRepository.php
@@ -0,0 +1,134 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Category;
+
+use PDO;
+
+/**
+ * Dépôt pour la persistance des catégories.
+ *
+ * Responsabilité unique : exécuter les requêtes SQL liées à la table `categories`
+ * et retourner des instances de Category hydratées.
+ */
+final class CategoryRepository implements CategoryRepositoryInterface
+{
+    /**
+     * @param PDO $db Instance de connexion à la base de données
+     */
+    public function __construct(private readonly PDO $db)
+    {
+    }
+
+    /**
+     * Retourne toutes les catégories triées alphabétiquement.
+     *
+     * @return Category[] La liste des catégories
+     */
+    public function findAll(): array
+    {
+        $stmt = $this->db->query('SELECT * FROM categories ORDER BY name ASC');
+        if ($stmt === false) {
+            throw new \RuntimeException('La requête SELECT sur categories a échoué.');
+        }
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Category::fromArray($row), $rows);
+    }
+
+    /**
+     * Trouve une catégorie par son identifiant.
+     *
+     * @param int $id Identifiant de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findById(int $id): ?Category
+    {
+        $stmt = $this->db->prepare('SELECT * FROM categories WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? Category::fromArray($row) : null;
+    }
+
+    /**
+     * Trouve une catégorie par son slug URL.
+     *
+     * @param string $slug Le slug de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findBySlug(string $slug): ?Category
+    {
+        $stmt = $this->db->prepare('SELECT * FROM categories WHERE slug = :slug');
+        $stmt->execute([':slug' => $slug]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? Category::fromArray($row) : null;
+    }
+
+    /**
+     * Persiste une nouvelle catégorie en base de données.
+     *
+     * @param Category $category La catégorie à créer
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(Category $category): int
+    {
+        $stmt = $this->db->prepare('INSERT INTO categories (name, slug) VALUES (:name, :slug)');
+        $stmt->execute([':name' => $category->getName(), ':slug' => $category->getSlug()]);
+
+        return (int) $this->db->lastInsertId();
+    }
+
+    /**
+     * Supprime une catégorie de la base de données.
+     *
+     * @param int $id Identifiant de la catégorie à supprimer
+     *
+     * @return int Nombre de lignes supprimées (0 si la catégorie n'existe plus)
+     */
+    public function delete(int $id): int
+    {
+        $stmt = $this->db->prepare('DELETE FROM categories WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+
+        return $stmt->rowCount();
+    }
+
+    /**
+     * Vérifie si un nom est déjà utilisé par une catégorie existante.
+     *
+     * @param string $name Le nom à vérifier
+     *
+     * @return bool True si le nom est déjà pris
+     */
+    public function nameExists(string $name): bool
+    {
+        $stmt = $this->db->prepare('SELECT 1 FROM categories WHERE name = :name');
+        $stmt->execute([':name' => $name]);
+
+        return $stmt->fetchColumn() !== false;
+    }
+
+    /**
+     * Vérifie si au moins un article est rattaché à cette catégorie.
+     *
+     * Utilisé avant suppression pour bloquer la suppression d'une catégorie non vide.
+     *
+     * @param int $id Identifiant de la catégorie
+     *
+     * @return bool True si au moins un article référence cette catégorie
+     */
+    public function hasPost(int $id): bool
+    {
+        $stmt = $this->db->prepare('SELECT 1 FROM posts WHERE category_id = :id');
+        $stmt->execute([':id' => $id]);
+
+        return $stmt->fetchColumn() !== false;
+    }
+}
diff --git a/src/Category/CategoryRepositoryInterface.php b/src/Category/CategoryRepositoryInterface.php
new file mode 100644
index 0000000..7714f62
--- /dev/null
+++ b/src/Category/CategoryRepositoryInterface.php
@@ -0,0 +1,74 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Category;
+
+/**
+ * Contrat de persistance des catégories.
+ *
+ * Découple les services et contrôleurs de l'implémentation concrète PDO/SQLite,
+ * facilitant les mocks dans les tests unitaires.
+ */
+interface CategoryRepositoryInterface
+{
+    /**
+     * Retourne toutes les catégories triées alphabétiquement.
+     *
+     * @return Category[]
+     */
+    public function findAll(): array;
+
+    /**
+     * Trouve une catégorie par son identifiant.
+     *
+     * @param int $id Identifiant de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findById(int $id): ?Category;
+
+    /**
+     * Trouve une catégorie par son slug URL.
+     *
+     * @param string $slug Le slug de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findBySlug(string $slug): ?Category;
+
+    /**
+     * Persiste une nouvelle catégorie en base de données.
+     *
+     * @param Category $category La catégorie à créer
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(Category $category): int;
+
+    /**
+     * Supprime une catégorie de la base de données.
+     *
+     * @param int $id Identifiant de la catégorie à supprimer
+     *
+     * @return int Nombre de lignes supprimées
+     */
+    public function delete(int $id): int;
+
+    /**
+     * Vérifie si un nom est déjà utilisé par une catégorie existante.
+     *
+     * @param string $name Le nom à vérifier
+     *
+     * @return bool True si le nom est déjà pris
+     */
+    public function nameExists(string $name): bool;
+
+    /**
+     * Vérifie si au moins un article est rattaché à cette catégorie.
+     *
+     * @param int $id Identifiant de la catégorie
+     *
+     * @return bool True si au moins un article référence cette catégorie
+     */
+    public function hasPost(int $id): bool;
+}
diff --git a/src/Category/CategoryService.php b/src/Category/CategoryService.php
new file mode 100644
index 0000000..b09bddc
--- /dev/null
+++ b/src/Category/CategoryService.php
@@ -0,0 +1,120 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Category;
+
+use App\Shared\Util\SlugHelper;
+
+/**
+ * Service de gestion des catégories.
+ *
+ * Centralise la logique métier liée aux catégories :
+ *  - génération et validation du slug à la création
+ *  - vérification d'unicité du nom
+ *  - blocage de la suppression si des articles sont rattachés
+ *
+ * Les lectures (findAll, findById, findBySlug) sont exposées ici
+ * pour que CategoryController et PostController n'injectent pas
+ * directement le repository — cohérent avec le pattern des autres domaines.
+ */
+final class CategoryService implements CategoryServiceInterface
+{
+    /**
+     * @param CategoryRepositoryInterface $categoryRepository Dépôt de persistance des catégories
+     */
+    public function __construct(
+        private readonly CategoryRepositoryInterface $categoryRepository,
+    ) {
+    }
+
+    /**
+     * Retourne toutes les catégories triées alphabétiquement.
+     *
+     * @return Category[]
+     */
+    public function findAll(): array
+    {
+        return $this->categoryRepository->findAll();
+    }
+
+    /**
+     * Trouve une catégorie par son identifiant.
+     *
+     * @param int $id Identifiant de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findById(int $id): ?Category
+    {
+        return $this->categoryRepository->findById($id);
+    }
+
+    /**
+     * Trouve une catégorie par son slug URL.
+     *
+     * @param string $slug Le slug de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findBySlug(string $slug): ?Category
+    {
+        return $this->categoryRepository->findBySlug($slug);
+    }
+
+    /**
+     * Crée une catégorie depuis un nom brut.
+     *
+     * Séquence :
+     *  1. Trim du nom
+     *  2. Génération du slug via SlugHelper
+     *  3. Rejet si le slug est vide (nom sans caractère ASCII exploitable)
+     *  4. Rejet si le nom est déjà utilisé
+     *  5. Construction du modèle (déclenche la validation longueur/vide)
+     *  6. Persistance
+     *
+     * @param string $name Nom brut de la catégorie (non encore trimmé)
+     *
+     * @return int L'identifiant de la catégorie créée
+     *
+     * @throws \InvalidArgumentException Si le slug est vide, le nom déjà pris,
+     *                                   ou si la validation du modèle échoue
+     */
+    public function create(string $name): int
+    {
+        $name = trim($name);
+        $slug = SlugHelper::generate($name);
+
+        if ($slug === '') {
+            throw new \InvalidArgumentException('Le nom fourni ne peut pas générer un slug URL valide');
+        }
+
+        if ($this->categoryRepository->nameExists($name)) {
+            throw new \InvalidArgumentException('Ce nom de catégorie est déjà utilisé');
+        }
+
+        // Le constructeur de Category valide le nom (vide, longueur max)
+        return $this->categoryRepository->create(new Category(0, $name, $slug));
+    }
+
+    /**
+     * Supprime une catégorie.
+     *
+     * Refuse la suppression si au moins un article est rattaché à la catégorie,
+     * afin d'éviter des articles sans catégorie de façon involontaire.
+     *
+     * @param Category $category La catégorie à supprimer
+     *
+     * @throws \InvalidArgumentException Si la catégorie contient des articles
+     * @return void
+     */
+    public function delete(Category $category): void
+    {
+        if ($this->categoryRepository->hasPost($category->getId())) {
+            throw new \InvalidArgumentException(
+                "La catégorie « {$category->getName()} » contient des articles et ne peut pas être supprimée"
+            );
+        }
+
+        $this->categoryRepository->delete($category->getId());
+    }
+}
diff --git a/src/Category/CategoryServiceInterface.php b/src/Category/CategoryServiceInterface.php
new file mode 100644
index 0000000..434f3cd
--- /dev/null
+++ b/src/Category/CategoryServiceInterface.php
@@ -0,0 +1,64 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Category;
+
+/**
+ * Contrat du service de gestion des catégories.
+ *
+ * Permet de mocker le service dans les tests unitaires sans dépendre
+ * de la classe concrète finale CategoryService.
+ */
+interface CategoryServiceInterface
+{
+    /**
+     * Retourne toutes les catégories triées alphabétiquement.
+     *
+     * @return Category[]
+     */
+    public function findAll(): array;
+
+    /**
+     * Trouve une catégorie par son identifiant.
+     *
+     * @param int $id Identifiant de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findById(int $id): ?Category;
+
+    /**
+     * Trouve une catégorie par son slug URL.
+     *
+     * @param string $slug Le slug de la catégorie
+     *
+     * @return Category|null La catégorie trouvée, ou null si elle n'existe pas
+     */
+    public function findBySlug(string $slug): ?Category;
+
+    /**
+     * Crée une catégorie depuis un nom brut.
+     *
+     * Génère le slug, valide l'unicité du nom et délègue la construction
+     * du modèle au constructeur de Category (qui valide taille et contenu).
+     *
+     * @param string $name Nom brut de la catégorie (non encore trimmé)
+     *
+     * @return int L'identifiant de la catégorie créée
+     *
+     * @throws \InvalidArgumentException Si le nom produit un slug vide ou est déjà utilisé
+     */
+    public function create(string $name): int;
+
+    /**
+     * Supprime une catégorie.
+     *
+     * Refuse la suppression si des articles sont rattachés à la catégorie.
+     *
+     * @param Category $category La catégorie à supprimer
+     *
+     * @throws \InvalidArgumentException Si la catégorie contient des articles
+     * @return void
+     */
+    public function delete(Category $category): void;
+}
diff --git a/src/Media/Exception/FileTooLargeException.php b/src/Media/Exception/FileTooLargeException.php
new file mode 100644
index 0000000..17be424
--- /dev/null
+++ b/src/Media/Exception/FileTooLargeException.php
@@ -0,0 +1,16 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media\Exception;
+
+/**
+ * Exception levée lorsqu'un fichier uploadé dépasse la taille autorisée.
+ */
+final class FileTooLargeException extends \InvalidArgumentException
+{
+    public function __construct(int $maxBytes)
+    {
+        $mb = round($maxBytes / 1024 / 1024);
+        parent::__construct("Fichier trop volumineux (maximum {$mb} Mo)");
+    }
+}
diff --git a/src/Media/Exception/InvalidMimeTypeException.php b/src/Media/Exception/InvalidMimeTypeException.php
new file mode 100644
index 0000000..4423dc0
--- /dev/null
+++ b/src/Media/Exception/InvalidMimeTypeException.php
@@ -0,0 +1,15 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media\Exception;
+
+/**
+ * Exception levée lorsqu'un fichier uploadé a un type MIME non autorisé.
+ */
+final class InvalidMimeTypeException extends \InvalidArgumentException
+{
+    public function __construct(string $mime)
+    {
+        parent::__construct("Type de fichier non autorisé : {$mime} (JPEG, PNG, GIF ou WebP uniquement)");
+    }
+}
diff --git a/src/Media/Exception/StorageException.php b/src/Media/Exception/StorageException.php
new file mode 100644
index 0000000..28f8df7
--- /dev/null
+++ b/src/Media/Exception/StorageException.php
@@ -0,0 +1,12 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media\Exception;
+
+/**
+ * Exception levée lorsqu'une opération sur le système de fichiers échoue
+ * (création de répertoire, copie ou déplacement d'un fichier converti).
+ */
+final class StorageException extends \RuntimeException
+{
+}
diff --git a/src/Media/Media.php b/src/Media/Media.php
new file mode 100644
index 0000000..006a10c
--- /dev/null
+++ b/src/Media/Media.php
@@ -0,0 +1,130 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media;
+
+use App\Shared\Util\DateParser;
+use DateTime;
+
+/**
+ * Modèle représentant un fichier média uploadé.
+ *
+ * Encapsule les métadonnées d'un fichier stocké dans public/media/.
+ * Le fichier physique est identifié par son nom de stockage opaque (filename),
+ * distinct du nom affiché à l'utilisateur.
+ *
+ * Le hash SHA-256 du contenu permet la détection des doublons à l'upload :
+ * si un fichier identique a déjà été uploadé, son URL est retournée
+ * directement sans créer un second fichier sur disque.
+ */
+final class Media
+{
+    /**
+     * @var DateTime Date d'upload — toujours non nulle après construction
+     *               (le constructeur accepte ?DateTime mais affecte `new DateTime()` si null)
+     */
+    private readonly DateTime $createdAt;
+
+    /**
+     * @param int           $id        Identifiant en base (0 pour un nouveau média)
+     * @param string        $filename  Nom de stockage opaque sur disque (ex: "a3f8c1d2_9f33.jpg")
+     * @param string        $url       URL publique d'accès au fichier (ex: "/media/a3f8c1d2_9f33.jpg")
+     * @param string        $hash      Hash SHA-256 du contenu binaire du fichier
+     * @param int|null      $userId    Identifiant de l'auteur (null si le compte a été supprimé)
+     * @param DateTime|null $createdAt Date d'upload (défaut : maintenant)
+     */
+    public function __construct(
+        private readonly int $id,
+        private readonly string $filename,
+        private readonly string $url,
+        private readonly string $hash,
+        private readonly ?int $userId,
+        ?DateTime $createdAt = null,
+    ) {
+        $this->createdAt = $createdAt ?? new DateTime();
+    }
+
+    /**
+     * Crée une instance depuis un tableau associatif (ligne de base de données).
+     *
+     * @param array<string, mixed> $data Données issues de la base de données
+     *
+     * @return self L'instance hydratée
+     */
+    public static function fromArray(array $data): self
+    {
+        return new self(
+            id:        (int) ($data['id'] ?? 0),
+            filename:  (string) ($data['filename'] ?? ''),
+            url:       (string) ($data['url'] ?? ''),
+            hash:      (string) ($data['hash'] ?? ''),
+            userId:    isset($data['user_id']) ? (int) $data['user_id'] : null,
+            createdAt: DateParser::parse($data['created_at'] ?? null),
+        );
+    }
+
+    /**
+     * Retourne l'identifiant du média.
+     *
+     * @return int L'identifiant en base (0 si non encore persisté)
+     */
+    public function getId(): int
+    {
+        return $this->id;
+    }
+
+    /**
+     * Retourne le nom de stockage du fichier sur disque.
+     *
+     * Ce nom est opaque et généré aléatoirement à l'upload.
+     * Il ne doit pas être affiché à l'utilisateur tel quel.
+     *
+     * @return string Le nom de fichier sur disque
+     */
+    public function getFilename(): string
+    {
+        return $this->filename;
+    }
+
+    /**
+     * Retourne l'URL publique d'accès au fichier.
+     *
+     * @return string L'URL publique (ex: "/media/a3f8c1d2_9f33.jpg")
+     */
+    public function getUrl(): string
+    {
+        return $this->url;
+    }
+
+    /**
+     * Retourne le hash SHA-256 du contenu binaire du fichier.
+     *
+     * Utilisé pour la détection des doublons à l'upload.
+     *
+     * @return string Le hash hexadécimal SHA-256
+     */
+    public function getHash(): string
+    {
+        return $this->hash;
+    }
+
+    /**
+     * Retourne l'identifiant de l'auteur du média.
+     *
+     * @return int|null L'identifiant de l'auteur, ou null si le compte a été supprimé
+     */
+    public function getUserId(): ?int
+    {
+        return $this->userId;
+    }
+
+    /**
+     * Retourne la date d'upload du fichier.
+     *
+     * @return DateTime La date d'upload
+     */
+    public function getCreatedAt(): DateTime
+    {
+        return $this->createdAt;
+    }
+}
diff --git a/src/Media/MediaController.php b/src/Media/MediaController.php
new file mode 100644
index 0000000..dcca40e
--- /dev/null
+++ b/src/Media/MediaController.php
@@ -0,0 +1,180 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media;
+
+use App\Media\Exception\FileTooLargeException;
+use App\Media\Exception\InvalidMimeTypeException;
+use App\Media\Exception\StorageException;
+use App\Media\MediaServiceInterface;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Views\Twig;
+
+/**
+ * Contrôleur du domaine Media.
+ *
+ * Gère deux responsabilités HTTP :
+ *  1. Upload d'images depuis l'éditeur Trumbowyg (réponse JSON)
+ *  2. Administration des médias uploadés (liste, suppression)
+ *
+ * Toute la logique métier (validation, conversion WebP, déduplication,
+ * stockage disque) est déléguée à MediaService via MediaServiceInterface.
+ *
+ * Droits d'accès :
+ *  - Upload      : tout utilisateur connecté
+ *  - Liste       : chaque utilisateur voit uniquement ses propres médias ;
+ *                  l'administrateur et l'éditeur voient tous les médias
+ *  - Suppression : propriétaire du média, éditeur ou administrateur
+ */
+final class MediaController
+{
+    /**
+     * @param Twig                    $view           Moteur de templates Twig
+     * @param MediaServiceInterface   $mediaService   Service de gestion des médias
+     * @param FlashServiceInterface   $flash          Service de messages flash
+     * @param SessionManagerInterface $sessionManager Gestionnaire de session
+     */
+    public function __construct(
+        private readonly Twig $view,
+        private readonly MediaServiceInterface $mediaService,
+        private readonly FlashServiceInterface $flash,
+        private readonly SessionManagerInterface $sessionManager,
+    ) {
+    }
+
+    /**
+     * Affiche la page de gestion des médias.
+     *
+     * Un éditeur ou un administrateur voit tous les médias.
+     * Un utilisateur avec le rôle 'user' voit uniquement ses propres médias.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La page HTML de gestion des médias
+     */
+    public function index(Request $req, Response $res): Response
+    {
+        $isAdmin = $this->sessionManager->isAdmin() || $this->sessionManager->isEditor();
+        $userId  = $this->sessionManager->getUserId();
+
+        $media = $isAdmin
+            ? $this->mediaService->findAll()
+            : $this->mediaService->findByUserId((int) $userId);
+
+        return $this->view->render($res, 'admin/media/index.twig', [
+            'media'   => $media,
+            'error'   => $this->flash->get('media_error'),
+            'success' => $this->flash->get('media_success'),
+        ]);
+    }
+
+    /**
+     * Traite l'upload d'une image envoyée par le plugin Trumbowyg Upload.
+     *
+     * Vérifie la présence et l'absence d'erreur PSR-7 avant de déléguer
+     * à MediaService. Les erreurs métier (taille, MIME, stockage) sont
+     * converties en réponses JSON avec le code HTTP approprié.
+     *
+     * @param Request  $req La requête HTTP multipart contenant le champ "image"
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response JSON {"success": true, "file": "/media/..."} ou {"error": "..."}
+     */
+    public function upload(Request $req, Response $res): Response
+    {
+        $files        = $req->getUploadedFiles();
+        $uploadedFile = $files['image'] ?? null;
+
+        if ($uploadedFile === null || $uploadedFile->getError() !== UPLOAD_ERR_OK) {
+            return $this->jsonError($res, "Aucun fichier reçu ou erreur d'upload", 400);
+        }
+
+        try {
+            $url = $this->mediaService->store($uploadedFile, $this->sessionManager->getUserId() ?? 0);
+        } catch (FileTooLargeException $e) {
+            return $this->jsonError($res, $e->getMessage(), 413);
+        } catch (InvalidMimeTypeException $e) {
+            return $this->jsonError($res, $e->getMessage(), 415);
+        } catch (StorageException $e) {
+            return $this->jsonError($res, $e->getMessage(), 500);
+        }
+
+        return $this->jsonSuccess($res, $url);
+    }
+
+    /**
+     * Supprime un média (fichier sur disque + entrée en base).
+     *
+     * Vérifie que l'utilisateur connecté est le propriétaire du média
+     * ou un administrateur / éditeur. Redirige avec un message flash dans les deux cas.
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Paramètres de route (id)
+     *
+     * @return Response Redirection vers /admin/media
+     */
+    public function delete(Request $req, Response $res, array $args): Response
+    {
+        $id    = (int) ($args['id'] ?? 0);
+        $media = $this->mediaService->findById($id);
+
+        if ($media === null) {
+            $this->flash->set('media_error', 'Fichier introuvable');
+
+            return $res->withHeader('Location', '/admin/media')->withStatus(302);
+        }
+
+        $userId  = $this->sessionManager->getUserId();
+        $isAdmin = $this->sessionManager->isAdmin() || $this->sessionManager->isEditor();
+
+        if (!$isAdmin && $media->getUserId() !== $userId) {
+            $this->flash->set('media_error', "Vous n'êtes pas autorisé à supprimer ce fichier");
+
+            return $res->withHeader('Location', '/admin/media')->withStatus(302);
+        }
+
+        $this->mediaService->delete($media);
+        $this->flash->set('media_success', 'Fichier supprimé');
+
+        return $res->withHeader('Location', '/admin/media')->withStatus(302);
+    }
+
+    /**
+     * Retourne une réponse JSON de succès avec l'URL du fichier uploadé.
+     *
+     * @param Response $res     La réponse HTTP
+     * @param string   $fileUrl L'URL publique du fichier
+     *
+     * @return Response La réponse JSON {"success": true, "file": "..."}
+     */
+    private function jsonSuccess(Response $res, string $fileUrl): Response
+    {
+        $res->getBody()->write(json_encode([
+            'success' => true,
+            'file'    => $fileUrl,
+        ], JSON_THROW_ON_ERROR));
+
+        return $res->withHeader('Content-Type', 'application/json')->withStatus(200);
+    }
+
+    /**
+     * Retourne une réponse JSON d'erreur.
+     *
+     * @param Response $res     La réponse HTTP
+     * @param string   $message Le message d'erreur
+     * @param int      $status  Le code HTTP de l'erreur
+     *
+     * @return Response La réponse JSON {"error": "..."}
+     */
+    private function jsonError(Response $res, string $message, int $status): Response
+    {
+        $res->getBody()->write(json_encode(['error' => $message], JSON_THROW_ON_ERROR));
+
+        return $res->withHeader('Content-Type', 'application/json')->withStatus($status);
+    }
+}
diff --git a/src/Media/MediaRepository.php b/src/Media/MediaRepository.php
new file mode 100644
index 0000000..a010715
--- /dev/null
+++ b/src/Media/MediaRepository.php
@@ -0,0 +1,139 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media;
+
+use PDO;
+
+/**
+ * Dépôt pour la persistance des médias uploadés.
+ *
+ * Responsabilité unique : exécuter les requêtes SQL liées à la table `media`
+ * et retourner des instances de Media hydratées.
+ */
+final class MediaRepository implements MediaRepositoryInterface
+{
+    /**
+     * Fragment SELECT commun à toutes les requêtes de lecture.
+     */
+    private const SELECT = 'SELECT id, filename, url, hash, user_id, created_at FROM media';
+
+    /**
+     * @param PDO $db Instance de connexion à la base de données
+     */
+    public function __construct(private readonly PDO $db)
+    {
+    }
+
+    /**
+     * Retourne tous les médias triés du plus récent au plus ancien.
+     *
+     * @return Media[] La liste complète des médias
+     */
+    public function findAll(): array
+    {
+        $stmt = $this->db->query(self::SELECT . ' ORDER BY id DESC');
+        if ($stmt === false) {
+            throw new \RuntimeException('La requête SELECT sur media a échoué.');
+        }
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Media::fromArray($row), $rows);
+    }
+
+    /**
+     * Retourne tous les médias appartenant à un utilisateur donné,
+     * triés du plus récent au plus ancien.
+     *
+     * @param int $userId Identifiant de l'utilisateur
+     *
+     * @return Media[] La liste des médias de cet utilisateur
+     */
+    public function findByUserId(int $userId): array
+    {
+        $stmt = $this->db->prepare(self::SELECT . ' WHERE user_id = :user_id ORDER BY id DESC');
+        $stmt->execute([':user_id' => $userId]);
+
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Media::fromArray($row), $rows);
+    }
+
+    /**
+     * Trouve un média par son identifiant.
+     *
+     * @param int $id Identifiant du média
+     *
+     * @return Media|null Le média trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?Media
+    {
+        $stmt = $this->db->prepare(self::SELECT . ' WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? Media::fromArray($row) : null;
+    }
+
+    /**
+     * Trouve un média par le hash SHA-256 de son contenu.
+     *
+     * Utilisé pour la détection des doublons à l'upload.
+     *
+     * @param string $hash Hash SHA-256 du contenu binaire du fichier
+     *
+     * @return Media|null Le média existant, ou null si aucun doublon
+     */
+    public function findByHash(string $hash): ?Media
+    {
+        $stmt = $this->db->prepare(self::SELECT . ' WHERE hash = :hash');
+        $stmt->execute([':hash' => $hash]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? Media::fromArray($row) : null;
+    }
+
+    /**
+     * Persiste un nouveau média en base de données.
+     *
+     * @param Media $media Le média à créer
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(Media $media): int
+    {
+        $stmt = $this->db->prepare('
+            INSERT INTO media (filename, url, hash, user_id, created_at)
+            VALUES (:filename, :url, :hash, :user_id, :created_at)
+        ');
+
+        $stmt->execute([
+            ':filename'   => $media->getFilename(),
+            ':url'        => $media->getUrl(),
+            ':hash'       => $media->getHash(),
+            ':user_id'    => $media->getUserId(),
+            ':created_at' => date('Y-m-d H:i:s'),
+        ]);
+
+        return (int) $this->db->lastInsertId();
+    }
+
+    /**
+     * Supprime un média de la base de données.
+     *
+     * La suppression du fichier physique sur disque est à la charge de l'appelant.
+     *
+     * @param int $id Identifiant du média à supprimer
+     *
+     * @return int Nombre de lignes supprimées (0 si le média n'existe plus)
+     */
+    public function delete(int $id): int
+    {
+        $stmt = $this->db->prepare('DELETE FROM media WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+
+        return $stmt->rowCount();
+    }
+}
diff --git a/src/Media/MediaRepositoryInterface.php b/src/Media/MediaRepositoryInterface.php
new file mode 100644
index 0000000..15725b1
--- /dev/null
+++ b/src/Media/MediaRepositoryInterface.php
@@ -0,0 +1,65 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media;
+
+/**
+ * Contrat de persistance des médias uploadés.
+ *
+ * Découple les contrôleurs de l'implémentation concrète PDO/SQLite,
+ * facilitant les mocks dans les tests unitaires.
+ */
+interface MediaRepositoryInterface
+{
+    /**
+     * Retourne tous les médias triés du plus récent au plus ancien.
+     *
+     * @return Media[]
+     */
+    public function findAll(): array;
+
+    /**
+     * Retourne tous les médias d'un utilisateur donné.
+     *
+     * @param int $userId Identifiant de l'utilisateur
+     *
+     * @return Media[]
+     */
+    public function findByUserId(int $userId): array;
+
+    /**
+     * Trouve un média par son identifiant.
+     *
+     * @param int $id Identifiant du média
+     *
+     * @return Media|null Le média trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?Media;
+
+    /**
+     * Trouve un média par le hash SHA-256 de son contenu (déduplication).
+     *
+     * @param string $hash Hash SHA-256 du contenu binaire du fichier
+     *
+     * @return Media|null Le média existant, ou null si aucun doublon
+     */
+    public function findByHash(string $hash): ?Media;
+
+    /**
+     * Persiste un nouveau média en base de données.
+     *
+     * @param Media $media Le média à créer
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(Media $media): int;
+
+    /**
+     * Supprime un média de la base de données.
+     *
+     * @param int $id Identifiant du média à supprimer
+     *
+     * @return int Nombre de lignes supprimées
+     */
+    public function delete(int $id): int;
+}
diff --git a/src/Media/MediaService.php b/src/Media/MediaService.php
new file mode 100644
index 0000000..a3c3054
--- /dev/null
+++ b/src/Media/MediaService.php
@@ -0,0 +1,228 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media;
+
+use App\Media\Exception\FileTooLargeException;
+use App\Media\Exception\InvalidMimeTypeException;
+use App\Media\Exception\StorageException;
+use PDOException;
+use Psr\Http\Message\UploadedFileInterface;
+
+final class MediaService implements MediaServiceInterface
+{
+    private const ALLOWED_MIME_TYPES = [
+        'image/jpeg',
+        'image/png',
+        'image/gif',
+        'image/webp',
+    ];
+
+    private const WEBP_CONVERTIBLE = ['image/jpeg', 'image/png'];
+
+    private const MIME_EXTENSIONS = [
+        'image/jpeg' => 'webp',
+        'image/png'  => 'webp',
+        'image/gif'  => 'gif',
+        'image/webp' => 'webp',
+    ];
+
+    private const MIME_EXTENSIONS_FALLBACK = [
+        'image/jpeg' => 'jpg',
+        'image/png'  => 'png',
+        'image/gif'  => 'gif',
+        'image/webp' => 'webp',
+    ];
+
+    private const MAX_PIXELS = 40000000;
+
+    public function __construct(
+        private readonly MediaRepositoryInterface $mediaRepository,
+        private readonly string $uploadDir,
+        private readonly string $uploadUrl,
+        private readonly int $maxSize,
+    ) {
+    }
+
+    public function findAll(): array
+    {
+        return $this->mediaRepository->findAll();
+    }
+
+    public function findByUserId(int $userId): array
+    {
+        return $this->mediaRepository->findByUserId($userId);
+    }
+
+    public function findById(int $id): ?Media
+    {
+        return $this->mediaRepository->findById($id);
+    }
+
+    public function store(UploadedFileInterface $uploadedFile, int $userId): string
+    {
+        $size = $uploadedFile->getSize();
+
+        if (!is_int($size)) {
+            throw new StorageException('Impossible de déterminer la taille du fichier uploadé');
+        }
+
+        if ($size > $this->maxSize) {
+            throw new FileTooLargeException($this->maxSize);
+        }
+
+        $tmpPathRaw = $uploadedFile->getStream()->getMetadata('uri');
+
+        if (!is_string($tmpPathRaw) || $tmpPathRaw === '') {
+            throw new StorageException('Impossible de localiser le fichier temporaire uploadé');
+        }
+
+        $tmpPath = $tmpPathRaw;
+        $finfo   = new \finfo(FILEINFO_MIME_TYPE);
+        $mime    = $finfo->file($tmpPath);
+
+        if ($mime === false || !in_array($mime, self::ALLOWED_MIME_TYPES, true)) {
+            throw new InvalidMimeTypeException($mime === false ? 'unknown' : $mime);
+        }
+
+        $this->assertReasonableDimensions($tmpPath);
+
+        $converted = false;
+        if (in_array($mime, self::WEBP_CONVERTIBLE, true)) {
+            $convertedPath = $this->convertToWebP($tmpPath);
+            if ($convertedPath !== null) {
+                $tmpPath   = $convertedPath;
+                $converted = true;
+            }
+        }
+
+        $rawHash = hash_file('sha256', $tmpPath);
+
+        if ($rawHash === false) {
+            if ($converted) {
+                @unlink($tmpPath);
+            }
+            throw new StorageException('Impossible de calculer le hash du fichier');
+        }
+
+        $hash     = $rawHash;
+        $existing = $this->mediaRepository->findByHash($hash);
+
+        if ($existing !== null) {
+            if ($converted) {
+                @unlink($tmpPath);
+            }
+            return $existing->getUrl();
+        }
+
+        if (!is_dir($this->uploadDir) && !@mkdir($this->uploadDir, 0755, true)) {
+            throw new StorageException("Impossible de créer le répertoire d'upload");
+        }
+
+        $extension = $converted
+            ? self::MIME_EXTENSIONS[$mime]
+            : self::MIME_EXTENSIONS_FALLBACK[$mime];
+        $filename  = uniqid('', true) . '_' . bin2hex(random_bytes(4)) . '.' . $extension;
+        $destPath  = $this->uploadDir . DIRECTORY_SEPARATOR . $filename;
+
+        if ($converted) {
+            if (!copy($tmpPath, $destPath)) {
+                @unlink($tmpPath);
+                throw new StorageException('Impossible de déplacer le fichier converti');
+            }
+            @unlink($tmpPath);
+        } else {
+            $uploadedFile->moveTo($destPath);
+        }
+
+        $url   = $this->uploadUrl . '/' . $filename;
+        $media = new Media(0, $filename, $url, $hash, $userId);
+
+        try {
+            $this->mediaRepository->create($media);
+        } catch (PDOException $e) {
+            $duplicate = $this->mediaRepository->findByHash($hash);
+            if ($duplicate !== null) {
+                @unlink($destPath);
+                return $duplicate->getUrl();
+            }
+
+            @unlink($destPath);
+            throw $e;
+        }
+
+        return $url;
+    }
+
+    public function delete(Media $media): void
+    {
+        $filePath = $this->uploadDir . DIRECTORY_SEPARATOR . $media->getFilename();
+
+        if (file_exists($filePath)) {
+            @unlink($filePath);
+        }
+
+        $this->mediaRepository->delete($media->getId());
+    }
+
+    private function assertReasonableDimensions(string $path): void
+    {
+        $size = @getimagesize($path);
+
+        if ($size === false) {
+            throw new StorageException('Impossible de lire les dimensions de l\'image');
+        }
+
+        [$width, $height] = $size;
+
+        if ($width <= 0 || $height <= 0) {
+            throw new StorageException('Dimensions d\'image invalides');
+        }
+
+        if (($width * $height) > self::MAX_PIXELS) {
+            throw new StorageException('Image trop volumineuse en dimensions pour être traitée');
+        }
+    }
+
+    private function convertToWebP(string $sourcePath): ?string
+    {
+        if (!function_exists('imagewebp')) {
+            return null;
+        }
+
+        $data = file_get_contents($sourcePath);
+
+        if ($data === false || $data === '') {
+            return null;
+        }
+
+        $image = imagecreatefromstring($data);
+
+        if ($image === false) {
+            return null;
+        }
+
+        imagealphablending($image, false);
+        imagesavealpha($image, true);
+
+        $tmpFile = tempnam(sys_get_temp_dir(), 'slim_webp_');
+
+        if ($tmpFile === false) {
+            imagedestroy($image);
+            return null;
+        }
+
+        @unlink($tmpFile);
+        $tmpPath = $tmpFile . '.webp';
+
+        if (!imagewebp($image, $tmpPath, 85)) {
+            imagedestroy($image);
+            @unlink($tmpPath);
+            return null;
+        }
+
+        imagedestroy($image);
+
+        return $tmpPath;
+    }
+}
diff --git a/src/Media/MediaServiceInterface.php b/src/Media/MediaServiceInterface.php
new file mode 100644
index 0000000..7ed5d57
--- /dev/null
+++ b/src/Media/MediaServiceInterface.php
@@ -0,0 +1,62 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Media;
+
+use Psr\Http\Message\UploadedFileInterface;
+
+/**
+ * Contrat du service de gestion des médias.
+ *
+ * Permet de mocker le service dans les tests unitaires sans dépendre
+ * de la classe concrète finale MediaService.
+ */
+interface MediaServiceInterface
+{
+    /**
+     * Retourne tous les médias triés du plus récent au plus ancien.
+     *
+     * @return Media[]
+     */
+    public function findAll(): array;
+
+    /**
+     * Retourne tous les médias appartenant à un utilisateur donné.
+     *
+     * @param int $userId Identifiant de l'utilisateur
+     *
+     * @return Media[]
+     */
+    public function findByUserId(int $userId): array;
+
+    /**
+     * Trouve un média par son identifiant.
+     *
+     * @param int $id Identifiant du média
+     *
+     * @return Media|null Le média trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?Media;
+
+    /**
+     * Valide, convertit, déduplique et stocke un fichier uploadé.
+     *
+     * @param UploadedFileInterface $uploadedFile Le fichier PSR-7 reçu
+     * @param int                   $userId       Identifiant de l'auteur
+     *
+     * @return string L'URL publique du fichier stocké
+     *
+     * @throws \App\Media\Exception\FileTooLargeException    Si la taille dépasse le maximum autorisé
+     * @throws \App\Media\Exception\InvalidMimeTypeException Si le type MIME n'est pas autorisé
+     * @throws \App\Media\Exception\StorageException         Si une opération disque échoue
+     */
+    public function store(UploadedFileInterface $uploadedFile, int $userId): string;
+
+    /**
+     * Supprime un média : fichier physique sur disque et entrée en base.
+     *
+     * @param Media $media Le média à supprimer
+     * @return void
+     */
+    public function delete(Media $media): void;
+}
diff --git a/src/Post/Post.php b/src/Post/Post.php
new file mode 100644
index 0000000..3c9409a
--- /dev/null
+++ b/src/Post/Post.php
@@ -0,0 +1,252 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use App\Shared\Util\DateParser;
+use App\Shared\Util\SlugHelper;
+use DateTime;
+
+/**
+ * Modèle représentant un article de blog.
+ *
+ * Encapsule les données et la validation d'un article.
+ * Ce modèle est immuable après construction.
+ * Le nom d'auteur est dénormalisé (chargé par JOIN dans PostRepository)
+ * pour éviter des requêtes supplémentaires à l'affichage.
+ * La logique de présentation (excerpt, formatage) est déléguée à PostExtension.
+ *
+ * Distinction slug :
+ *  - getStoredSlug() : slug lu depuis la base de données (canonique, peut comporter
+ *    un suffixe numérique pour lever les collisions, ex: "mon-article-2")
+ *  - generateSlug()  : slug calculé dynamiquement depuis le titre, utilisé uniquement
+ *    par PostService lors de la création/modification pour produire le slug à stocker
+ */
+final class Post
+{
+    /**
+     * @var DateTime Date de création — toujours non nulle après construction
+     *               (le constructeur accepte ?DateTime mais affecte `new DateTime()` si null)
+     */
+    private readonly DateTime $createdAt;
+
+    /**
+     * @var DateTime Date de dernière modification — toujours non nulle après construction
+     */
+    private readonly DateTime $updatedAt;
+
+    /**
+     * @param int           $id             Identifiant en base (0 pour un nouvel article)
+     * @param string        $title          Titre de l'article (1–255 caractères)
+     * @param string        $content        Contenu HTML de l'article (1–65 535 caractères)
+     * @param string        $slug           Slug URL canonique, tel que stocké en base
+     * @param int|null      $authorId       Identifiant de l'auteur (null si le compte a été supprimé)
+     * @param string|null   $authorUsername Nom de l'auteur dénormalisé (null si le compte a été supprimé)
+     * @param int|null      $categoryId     Identifiant de la catégorie (null si sans catégorie)
+     * @param string|null   $categoryName   Nom de la catégorie dénormalisé (null si sans catégorie)
+     * @param string|null   $categorySlug   Slug de la catégorie dénormalisé (null si sans catégorie)
+     * @param DateTime|null $createdAt      Date de création (défaut : maintenant)
+     * @param DateTime|null $updatedAt      Date de dernière modification (défaut : maintenant)
+     *
+     * @throws \InvalidArgumentException Si les données ne passent pas la validation
+     */
+    public function __construct(
+        private readonly int $id,
+        private readonly string $title,
+        private readonly string $content,
+        private readonly string $slug = '',
+        private readonly ?int $authorId = null,
+        private readonly ?string $authorUsername = null,
+        private readonly ?int $categoryId = null,
+        private readonly ?string $categoryName = null,
+        private readonly ?string $categorySlug = null,
+        ?DateTime $createdAt = null,
+        ?DateTime $updatedAt = null,
+    ) {
+        $this->createdAt = $createdAt ?? new DateTime();
+        $this->updatedAt = $updatedAt ?? new DateTime();
+        $this->validate();
+    }
+
+    /**
+     * Crée une instance depuis un tableau associatif (ligne de base de données).
+     *
+     * @param array<string, mixed> $data Données issues de la base de données (avec JOIN users)
+     *
+     * @return self L'instance hydratée
+     */
+    public static function fromArray(array $data): self
+    {
+        return new self(
+            id:             (int) ($data['id'] ?? 0),
+            title:          (string) ($data['title'] ?? ''),
+            content:        (string) ($data['content'] ?? ''),
+            slug:           (string) ($data['slug'] ?? ''),
+            authorId:       isset($data['author_id']) ? (int) $data['author_id'] : null,
+            authorUsername: isset($data['author_username']) ? (string) $data['author_username'] : null,
+            categoryId:     isset($data['category_id']) ? (int) $data['category_id'] : null,
+            categoryName:   isset($data['category_name']) ? (string) $data['category_name'] : null,
+            categorySlug:   isset($data['category_slug']) ? (string) $data['category_slug'] : null,
+            createdAt:      DateParser::parse($data['created_at'] ?? null),
+            updatedAt:      DateParser::parse($data['updated_at'] ?? null),
+        );
+    }
+
+    /**
+     * Retourne l'identifiant de l'article.
+     *
+     * @return int L'identifiant en base (0 si non encore persisté)
+     */
+    public function getId(): int
+    {
+        return $this->id;
+    }
+
+    /**
+     * Retourne le titre de l'article.
+     *
+     * @return string Le titre
+     */
+    public function getTitle(): string
+    {
+        return $this->title;
+    }
+
+    /**
+     * Retourne le contenu HTML de l'article.
+     *
+     * @return string Le contenu HTML sanitisé (purifié par HTMLPurifier à l'écriture)
+     */
+    public function getContent(): string
+    {
+        return $this->content;
+    }
+
+    /**
+     * Retourne le slug canonique tel que stocké en base de données.
+     *
+     * Ce slug peut différer du résultat de generateSlug() si un suffixe numérique
+     * a été ajouté lors de la création pour lever une collision
+     * (ex: titre "Mon article" → slug en DB "mon-article-2").
+     * C'est cette valeur qu'il faut utiliser pour construire les URLs publiques.
+     *
+     * @return string Le slug canonique (vide si l'article n'a pas encore été persisté)
+     */
+    public function getStoredSlug(): string
+    {
+        return $this->slug;
+    }
+
+    /**
+     * Retourne l'identifiant de l'auteur.
+     *
+     * @return int|null L'identifiant de l'auteur, ou null si le compte a été supprimé
+     */
+    public function getAuthorId(): ?int
+    {
+        return $this->authorId;
+    }
+
+    /**
+     * Retourne le nom d'utilisateur de l'auteur.
+     *
+     * @return string|null Le nom d'utilisateur, ou null si le compte a été supprimé
+     */
+    public function getAuthorUsername(): ?string
+    {
+        return $this->authorUsername;
+    }
+
+    /**
+     * Retourne l'identifiant de la catégorie de l'article.
+     *
+     * @return int|null L'identifiant de la catégorie, ou null si l'article est sans catégorie
+     */
+    public function getCategoryId(): ?int
+    {
+        return $this->categoryId;
+    }
+
+    /**
+     * Retourne le nom de la catégorie de l'article.
+     *
+     * @return string|null Le nom de la catégorie, ou null si l'article est sans catégorie
+     */
+    public function getCategoryName(): ?string
+    {
+        return $this->categoryName;
+    }
+
+    /**
+     * Retourne le slug de la catégorie de l'article.
+     *
+     * @return string|null Le slug de la catégorie, ou null si l'article est sans catégorie
+     */
+    public function getCategorySlug(): ?string
+    {
+        return $this->categorySlug;
+    }
+
+    /**
+     * Retourne la date de création de l'article.
+     *
+     * @return DateTime La date de création
+     */
+    public function getCreatedAt(): DateTime
+    {
+        return $this->createdAt;
+    }
+
+    /**
+     * Retourne la date de dernière modification de l'article.
+     *
+     * @return DateTime La date de dernière modification
+     */
+    public function getUpdatedAt(): DateTime
+    {
+        return $this->updatedAt;
+    }
+
+    /**
+     * Génère un slug URL-friendly calculé à partir du titre courant.
+     *
+     * Cette méthode est réservée à PostService pour produire le slug à stocker
+     * lors de la création ou de la modification d'un article.
+     * Pour construire une URL publique, utiliser getStoredSlug() qui retourne
+     * le slug canonique tel qu'il est enregistré en base de données.
+     *
+     * La génération est déléguée à SlugHelper::generate() — voir sa documentation
+     * pour le détail de l'algorithme (translittération ASCII, minuscules, tirets).
+     *
+     * @return string Le slug en minuscules avec tirets (ex: "ete-en-foret")
+     */
+    public function generateSlug(): string
+    {
+        return SlugHelper::generate($this->title);
+    }
+
+    /**
+     * Valide les données de l'article.
+     *
+     * @throws \InvalidArgumentException Si le titre est vide ou dépasse 255 caractères
+     * @throws \InvalidArgumentException Si le contenu est vide ou dépasse 65 535 caractères
+     */
+    private function validate(): void
+    {
+        if ($this->title === '') {
+            throw new \InvalidArgumentException('Le titre ne peut pas être vide');
+        }
+
+        if (mb_strlen($this->title) > 255) {
+            throw new \InvalidArgumentException('Le titre ne peut pas dépasser 255 caractères');
+        }
+
+        if ($this->content === '') {
+            throw new \InvalidArgumentException('Le contenu ne peut pas être vide');
+        }
+
+        if (mb_strlen($this->content) > 65535) {
+            throw new \InvalidArgumentException('Le contenu ne peut pas dépasser 65 535 caractères');
+        }
+    }
+}
diff --git a/src/Post/PostController.php b/src/Post/PostController.php
new file mode 100644
index 0000000..56a768e
--- /dev/null
+++ b/src/Post/PostController.php
@@ -0,0 +1,379 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use App\Category\CategoryServiceInterface;
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Exception\HttpNotFoundException;
+use Slim\Views\Twig;
+
+/**
+ * Contrôleur pour les articles.
+ *
+ * Gère les actions HTTP liées aux articles : affichage public et administration
+ * (liste, formulaire, création, modification, suppression).
+ * Délègue toute la logique métier à PostService et utilise FlashService
+ * pour transmettre les messages d'erreur entre redirections.
+ * L'identifiant de l'auteur est lu depuis SessionManager lors de la création.
+ * Les droits de modification et suppression sont vérifiés via canEditPost().
+ * CategoryService est injecté pour résoudre les slugs de catégorie
+ * en identifiants et fournir la liste des catégories aux vues.
+ */
+final class PostController
+{
+    /**
+     * @param Twig                     $view            Moteur de templates Twig
+     * @param PostServiceInterface     $postService     Service métier des articles
+     * @param CategoryServiceInterface $categoryService Service de gestion des catégories
+     * @param FlashServiceInterface    $flash           Service de messages flash
+     * @param SessionManagerInterface  $sessionManager  Gestionnaire de session
+     */
+    public function __construct(
+        private readonly Twig $view,
+        private readonly PostServiceInterface $postService,
+        private readonly CategoryServiceInterface $categoryService,
+        private readonly FlashServiceInterface $flash,
+        private readonly SessionManagerInterface $sessionManager,
+    ) {
+    }
+
+    /**
+     * Affiche la page d'accueil avec la liste des articles.
+     *
+     * Accepte deux paramètres de requête cumulables :
+     *  - `q` (string) : recherche plein texte FTS5 sur titre, contenu et auteur
+     *  - `categorie` (string) : filtre par slug de catégorie
+     *
+     * Si `q` est fourni, les résultats sont triés par pertinence BM25.
+     * Sans `q`, les articles sont triés du plus récent au plus ancien.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue de la page d'accueil
+     */
+    public function index(Request $req, Response $res): Response
+    {
+        $params         = $req->getQueryParams();
+        $searchQuery    = trim((string) ($params['q'] ?? ''));
+        $categorySlug   = (string) ($params['categorie'] ?? '');
+        $activeCategory = null;
+        $categoryId     = null;
+
+        if ($categorySlug !== '') {
+            $activeCategory = $this->categoryService->findBySlug($categorySlug);
+            $categoryId     = $activeCategory?->getId();
+        }
+
+        $posts = $searchQuery !== ''
+            ? $this->postService->searchPosts($searchQuery, $categoryId)
+            : $this->postService->getAllPosts($categoryId);
+
+        return $this->view->render($res, 'pages/home.twig', [
+            'posts'          => $posts,
+            'categories'     => $this->categoryService->findAll(),
+            'activeCategory' => $activeCategory,
+            'searchQuery'    => $searchQuery,
+        ]);
+    }
+
+    /**
+     * Affiche le détail d'un article par son slug.
+     *
+     * Le contenu HTML est déjà sanitisé lors de la création/modification
+     * (via HtmlSanitizerInterface dans PostService) : aucun nettoyage supplémentaire
+     * n'est nécessaire à la lecture.
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Les paramètres de route (slug)
+     *
+     * @return Response La vue de détail de l'article
+     *
+     * @throws HttpNotFoundException Si aucun article ne correspond au slug
+     */
+    public function show(Request $req, Response $res, array $args): Response
+    {
+        try {
+            $post = $this->postService->getPostBySlug((string) ($args['slug'] ?? ''));
+        } catch (NotFoundException) {
+            throw new HttpNotFoundException($req);
+        }
+
+        return $this->view->render($res, 'pages/post/detail.twig', ['post' => $post]);
+    }
+
+    /**
+     * Affiche la liste des articles dans l'interface d'administration.
+     *
+     * Un administrateur ou un éditeur voit tous les articles.
+     * Un utilisateur normal voit uniquement ses propres articles.
+     *
+     * Accepte deux paramètres de requête cumulables :
+     *  - `q` (string) : recherche plein texte FTS5 sur titre, contenu et auteur
+     *  - `categorie` (string) : filtre par slug de catégorie
+     *
+     * Si `q` est fourni, les résultats sont triés par pertinence BM25.
+     * Sans `q`, les articles sont triés du plus récent au plus ancien.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue d'administration des posts
+     */
+    public function admin(Request $req, Response $res): Response
+    {
+        $isAdmin = $this->sessionManager->isAdmin() || $this->sessionManager->isEditor();
+        $userId  = $this->sessionManager->getUserId();
+
+        $params         = $req->getQueryParams();
+        $searchQuery    = trim((string) ($params['q'] ?? ''));
+        $categorySlug   = (string) ($params['categorie'] ?? '');
+        $activeCategory = null;
+        $categoryId     = null;
+
+        if ($categorySlug !== '') {
+            $activeCategory = $this->categoryService->findBySlug($categorySlug);
+            $categoryId     = $activeCategory?->getId();
+        }
+
+        if ($searchQuery !== '') {
+            $authorId = $isAdmin ? null : (int) $userId;
+            $posts    = $this->postService->searchPosts($searchQuery, $categoryId, $authorId);
+        } else {
+            $posts = $isAdmin
+                ? $this->postService->getAllPosts($categoryId)
+                : $this->postService->getPostsByUserId((int) $userId, $categoryId);
+        }
+
+        return $this->view->render($res, 'admin/posts/index.twig', [
+            'posts'          => $posts,
+            'categories'     => $this->categoryService->findAll(),
+            'activeCategory' => $activeCategory,
+            'searchQuery'    => $searchQuery,
+            'error'          => $this->flash->get('post_error'),
+            'success'        => $this->flash->get('post_success'),
+        ]);
+    }
+
+    /**
+     * Affiche le formulaire de création (id=0) ou d'édition d'un article.
+     *
+     * L'accès en édition est refusé si l'utilisateur n'est pas l'auteur
+     * de l'article et n'a pas le rôle admin.
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Les paramètres de route (id)
+     *
+     * @return Response Le formulaire ou une redirection
+     *
+     * @throws HttpNotFoundException Si l'article demandé n'existe pas
+     */
+    public function form(Request $req, Response $res, array $args): Response
+    {
+        $id   = (int) ($args['id'] ?? 0);
+        $post = null;
+
+        if ($id > 0) {
+            try {
+                $post = $this->postService->getPostById($id);
+            } catch (NotFoundException) {
+                throw new HttpNotFoundException($req);
+            }
+
+            // Vérification des droits avant affichage du formulaire
+            if (!$this->canEditPost($post)) {
+                $this->flash->set('post_error', "Vous ne pouvez pas modifier un article dont vous n'êtes pas l'auteur");
+
+                return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+            }
+        }
+
+        return $this->view->render($res, 'admin/posts/form.twig', [
+            'post'       => $post,
+            'categories' => $this->categoryService->findAll(),
+            'action'     => $id > 0 ? "/admin/posts/edit/{$id}" : '/admin/posts/create',
+            'error'      => $this->flash->get('post_error'),
+        ]);
+    }
+
+    /**
+     * Traite la soumission du formulaire de création d'article.
+     *
+     * L'auteur est l'utilisateur connecté, lu depuis la session.
+     * Le slug est généré automatiquement depuis le titre par PostService —
+     * la valeur éventuellement saisie dans le formulaire est ignorée à la création
+     * (elle n'est prise en compte qu'à la modification via update()).
+     * En cas d'erreur de validation, redirige vers le formulaire avec un message flash.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Une redirection vers /admin/posts ou /admin/posts/edit/0
+     */
+    public function create(Request $req, Response $res): Response
+    {
+        ['title' => $title, 'content' => $content, 'category_id' => $categoryId] =
+            $this->extractPostData($req);
+
+        try {
+            $this->postService->createPost($title, $content, $this->sessionManager->getUserId() ?? 0, $categoryId);
+            $this->flash->set('post_success', 'L\'article a été créé avec succès');
+        } catch (\InvalidArgumentException $e) {
+            $this->flash->set('post_error', $e->getMessage());
+
+            return $res->withHeader('Location', '/admin/posts/edit/0')->withStatus(302);
+        } catch (\Throwable) {
+            $this->flash->set('post_error', 'Une erreur inattendue s\'est produite');
+
+            return $res->withHeader('Location', '/admin/posts/edit/0')->withStatus(302);
+        }
+
+        return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+    }
+
+    /**
+     * Traite la soumission du formulaire de modification d'article.
+     *
+     * Vérifie les droits avant modification : seul l'auteur ou un admin peut modifier.
+     * Un second 404 est possible si l'article est supprimé entre la vérification
+     * des droits et l'UPDATE (race condition).
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Les paramètres de route (id)
+     *
+     * @return Response Une redirection vers /admin/posts ou vers le formulaire
+     *
+     * @throws HttpNotFoundException Si l'article n'existe pas ou a disparu (race condition)
+     */
+    public function update(Request $req, Response $res, array $args): Response
+    {
+        $id = (int) $args['id'];
+        ['title' => $title, 'content' => $content, 'slug' => $slug, 'category_id' => $categoryId] =
+            $this->extractPostData($req);
+
+        // Récupération de l'article pour vérification des droits avant modification
+        try {
+            $post = $this->postService->getPostById($id);
+        } catch (NotFoundException) {
+            throw new HttpNotFoundException($req);
+        }
+
+        if (!$this->canEditPost($post)) {
+            $this->flash->set('post_error', "Vous ne pouvez pas modifier un article dont vous n'êtes pas l'auteur");
+
+            return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+        }
+
+        try {
+            $this->postService->updatePost($id, $title, $content, $slug, $categoryId);
+            $this->flash->set('post_success', 'L\'article a été modifié avec succès');
+        } catch (NotFoundException) {
+            // L'article a disparu entre la vérification des droits et l'UPDATE (race condition)
+            throw new HttpNotFoundException($req);
+        } catch (\InvalidArgumentException $e) {
+            $this->flash->set('post_error', $e->getMessage());
+
+            return $res->withHeader('Location', "/admin/posts/edit/{$id}")->withStatus(302);
+        } catch (\Throwable) {
+            $this->flash->set('post_error', 'Une erreur inattendue s\'est produite');
+
+            return $res->withHeader('Location', "/admin/posts/edit/{$id}")->withStatus(302);
+        }
+
+        return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+    }
+
+    /**
+     * Supprime un article.
+     *
+     * Vérifie les droits avant suppression : seul l'auteur ou un admin peut supprimer.
+     * Un second 404 est possible si l'article est supprimé entre la vérification
+     * des droits et le DELETE (race condition — cohérent avec update()).
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Les paramètres de route (id)
+     *
+     * @return Response Une redirection vers /admin/posts
+     *
+     * @throws HttpNotFoundException Si l'article n'existe pas ou a disparu (race condition)
+     */
+    public function delete(Request $req, Response $res, array $args): Response
+    {
+        // Récupération de l'article pour vérification des droits avant suppression
+        try {
+            $post = $this->postService->getPostById((int) $args['id']);
+        } catch (NotFoundException) {
+            throw new HttpNotFoundException($req);
+        }
+
+        if (!$this->canEditPost($post)) {
+            $this->flash->set('post_error', "Vous ne pouvez pas supprimer un article dont vous n'êtes pas l'auteur");
+
+            return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+        }
+
+        try {
+            $this->postService->deletePost($post->getId());
+        } catch (NotFoundException) {
+            // L'article a disparu entre la vérification des droits et le DELETE (race condition)
+            throw new HttpNotFoundException($req);
+        }
+
+        $this->flash->set('post_success', "L'article « {$post->getTitle()} » a été supprimé avec succès");
+
+        return $res->withHeader('Location', '/admin/posts')->withStatus(302);
+    }
+
+    /**
+     * Vérifie si l'utilisateur connecté est autorisé à modifier ou supprimer un article.
+     *
+     * L'accès est accordé si l'utilisateur est l'auteur de l'article
+     * ou s'il a le rôle administrateur.
+     *
+     * @param Post $post L'article concerné
+     *
+     * @return bool True si l'action est autorisée
+     */
+    private function canEditPost(Post $post): bool
+    {
+        // Un administrateur ou un éditeur a tous les droits sur tous les articles
+        if ($this->sessionManager->isAdmin() || $this->sessionManager->isEditor()) {
+            return true;
+        }
+
+        // Un utilisateur standard ne peut agir que sur ses propres articles
+        return $post->getAuthorId() === $this->sessionManager->getUserId();
+    }
+
+    /**
+     * Extrait et normalise les données d'article depuis le corps de la requête.
+     *
+     * @param Request $req La requête HTTP
+     *
+     * @return array{title: string, content: string, slug: string, category_id: int|null} Les données nettoyées
+     */
+    private function extractPostData(Request $req): array
+    {
+        /** @var array<string, mixed> $data */
+        $data = (array) $req->getParsedBody();
+        $categoryId = ($data['category_id'] ?? '') !== ''
+            ? (int) $data['category_id']
+            : null;
+
+        return [
+            'title'       => trim((string) ($data['title'] ?? '')),
+            'content'     => trim((string) ($data['content'] ?? '')),
+            'slug'        => trim((string) ($data['slug'] ?? '')),
+            'category_id' => $categoryId,
+        ];
+    }
+}
diff --git a/src/Post/PostExtension.php b/src/Post/PostExtension.php
new file mode 100644
index 0000000..bd22894
--- /dev/null
+++ b/src/Post/PostExtension.php
@@ -0,0 +1,205 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use Twig\Extension\AbstractExtension;
+use Twig\TwigFunction;
+
+/**
+ * Extension Twig pour la présentation des articles.
+ *
+ * Expose des fonctions utilitaires dans les templates Twig
+ * afin d'éviter d'appeler de la logique de présentation directement
+ * sur le modèle Post depuis les vues.
+ *
+ * Fonctions disponibles dans les templates :
+ *
+ * @example {{ post_excerpt(post) }}        — extrait de 400 caractères par défaut
+ * @example {{ post_excerpt(post, 600) }}   — extrait personnalisé de 600 caractères
+ * @example {{ post_url(post) }}            — URL publique de l'article (/article/{slug})
+ * @example {{ post_thumbnail(post) }}      — URL de la première image, ou null si aucune image
+ * @example {{ post_initials(post) }}       — initiales du titre (ex: "AB" pour "Article de Blog")
+ */
+final class PostExtension extends AbstractExtension
+{
+    /**
+     * Déclare les fonctions Twig exposées aux templates.
+     *
+     * @return TwigFunction[] Les fonctions enregistrées dans l'environnement Twig
+     */
+    public function getFunctions(): array
+    {
+        return [
+            new TwigFunction(
+                'post_excerpt',
+                fn (Post $post, int $length = 400) => self::excerpt($post, $length),
+                ['is_safe' => ['html']]
+            ),
+            new TwigFunction(
+                'post_url',
+                fn (Post $post) => '/article/'.$post->getStoredSlug()
+            ),
+            new TwigFunction(
+                'post_thumbnail',
+                fn (Post $post) => self::thumbnail($post)
+            ),
+            new TwigFunction(
+                'post_initials',
+                fn (Post $post) => self::initials($post)
+            ),
+        ];
+    }
+
+    /**
+     * Génère un extrait HTML formaté du contenu de l'article.
+     *
+     * Conserve uniquement les balises sûres et porteuses de sens visuel
+     * (<ul>, <ol>, <li>, <strong>, <em>, <b>, <i>) afin que le formatage
+     * soit perceptible dans l'aperçu (listes à puces, gras, italique…).
+     * Toutes les autres balises sont supprimées par strip_tags().
+     *
+     * La hauteur de l'aperçu est contrainte côté CSS (max-height sur .card__body +
+     * dégradé de fondu sur .card__excerpt) — c'est CSS qui tronque visuellement,
+     * pas cette méthode. Le paramètre $length sert uniquement de garde-fou serveur :
+     * il évite d'envoyer l'intégralité d'un long article au navigateur. La valeur
+     * par défaut de 400 caractères est volontairement généreuse pour ne jamais
+     * couper un contenu que CSS aurait affiché en entier.
+     *
+     * La troncature opère sur le HTML filtré (pas sur le texte brut) afin de
+     * conserver le formatage de façon cohérente, quelle que soit la longueur
+     * du contenu. Le comptage de caractères ignore les balises.
+     *
+     * Le HTML retourné provient de HTMLPurifier (appliqué à l'écriture) —
+     * strip_tags() avec liste blanche élimine tout balisage résiduel non désiré.
+     * La fonction est déclarée is_safe => ['html'] : Twig ne l'échappe pas
+     * automatiquement, le |raw est inutile dans les templates.
+     *
+     * @param Post $post   L'article dont générer l'extrait
+     * @param int  $length Longueur maximale en caractères visibles (défaut : 400)
+     *
+     * @return string L'extrait en HTML partiel, tronqué si nécessaire
+     */
+    private static function excerpt(Post $post, int $length): string
+    {
+        // Balises conservées : structurantes pour les listes, sémantiques pour le gras/italique.
+        // Toutes les autres (p, div, h1-h6, img, a, table…) sont supprimées pour
+        // garder un aperçu compact.
+        $allowed = '<ul><ol><li><strong><em><b><i>';
+        $html    = strip_tags($post->getContent(), $allowed);
+
+        // Mesurer sur le texte brut : les balises ne comptent pas dans la limite visible
+        if (mb_strlen(strip_tags($html)) <= $length) {
+            return $html;
+        }
+
+        // Tronquer en avançant caractère par caractère dans le HTML, en ignorant
+        // les balises dans le comptage — le formatage est ainsi conservé dans la
+        // portion visible, de façon cohérente avec les articles courts.
+        $truncated = '';
+        $count     = 0;
+        $inTag     = false;
+
+        for ($i = 0, $len = mb_strlen($html); $i < $len && $count < $length; $i++) {
+            $char = mb_substr($html, $i, 1);
+
+            if ($char === '<') {
+                $inTag = true;
+            }
+
+            $truncated .= $char;
+
+            if ($inTag) {
+                if ($char === '>') {
+                    $inTag = false;
+                }
+            } else {
+                $count++;
+            }
+        }
+
+        // Fermer proprement les balises laissées ouvertes par la troncature
+        foreach (['li', 'ul', 'ol', 'em', 'strong', 'b', 'i'] as $tag) {
+            $opens  = substr_count($truncated, "<{$tag}>") + substr_count($truncated, "<{$tag} ");
+            $closes = substr_count($truncated, "</{$tag}>");
+            for ($j = $closes; $j < $opens; $j++) {
+                $truncated .= "</{$tag}>";
+            }
+        }
+
+        return $truncated . '…';
+    }
+
+    /**
+     * Extrait l'URL de la première image présente dans le contenu de l'article.
+     *
+     * Utilise une regex sur l'attribut src de la première balise <img> trouvée.
+     * Le contenu étant sanitisé par HTMLPurifier, seuls les schémas http/https
+     * sont présents — aucun risque XSS via cet attribut.
+     * L'échappement de l'URL est délégué à Twig (auto-escape activé).
+     *
+     * @param Post $post L'article dont extraire la vignette
+     *
+     * @return string|null L'URL de la première image, ou null si aucune image
+     */
+    private static function thumbnail(Post $post): ?string
+    {
+        if (preg_match('/<img[^>]+src=["\']([^"\']+)["\']/', $post->getContent(), $matches)) {
+            return $matches[1];
+        }
+
+        return null;
+    }
+
+    /**
+     * Génère les initiales du titre de l'article (1 à 2 caractères).
+     *
+     * Extrait la première lettre de chaque mot, conserve les deux premières,
+     * et retourne le résultat en majuscules. Les mots vides (articles, prépositions
+     * d'une lettre) sont ignorés pour favoriser les mots porteurs de sens.
+     *
+     * Exemples :
+     *   "Article de Blog"  → "AB"
+     *   "Été en forêt"     → "EF"
+     *   "PHP"              → "P"
+     *   ""                 → "?"
+     *
+     * L'échappement HTML est délégué à Twig (auto-escape activé).
+     *
+     * @param Post $post L'article dont générer les initiales
+     *
+     * @return string Les initiales en majuscules (1–2 caractères), ou "?" si le titre est vide
+     */
+    private static function initials(Post $post): string
+    {
+        // Filtrer les mots vides fréquents (articles, prépositions, coordinations)
+        // pour favoriser les mots porteurs de sens : "Article de Blog" → ["Article", "Blog"] → "AB"
+        $stopWords = ['a', 'au', 'aux', 'd', 'de', 'des', 'du', 'en', 'et', 'l', 'la', 'le', 'les', 'of', 'the', 'un', 'une'];
+        $words = array_filter(
+            preg_split('/\s+/', trim($post->getTitle())) ?: [],
+            static function (string $w) use ($stopWords): bool {
+                $normalized = mb_strtolower(trim($w, " \t\n\r\0\x0B'\"’`.-_"));
+
+                return $normalized !== ''
+                    && mb_strlen($normalized) > 1
+                    && !in_array($normalized, $stopWords, true);
+            }
+        );
+
+        if (empty($words)) {
+            // Repli sur le premier caractère du titre brut si tous les mots font 1 lettre
+            $first = mb_substr(trim($post->getTitle()), 0, 1);
+
+            return $first !== '' ? mb_strtoupper($first) : '?';
+        }
+
+        $words    = array_values($words);
+        $initials = mb_strtoupper(mb_substr($words[0], 0, 1));
+
+        if (isset($words[1])) {
+            $initials .= mb_strtoupper(mb_substr($words[1], 0, 1));
+        }
+
+        return $initials;
+    }
+}
diff --git a/src/Post/PostRepository.php b/src/Post/PostRepository.php
new file mode 100644
index 0000000..404de0c
--- /dev/null
+++ b/src/Post/PostRepository.php
@@ -0,0 +1,334 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use PDO;
+
+/**
+ * Dépôt pour la persistance des articles.
+ *
+ * Responsabilité unique : exécuter les requêtes SQL liées à la table `posts`
+ * et retourner des instances de Post hydratées.
+ * Chaque requête de lecture effectue un LEFT JOIN sur `users` pour charger
+ * le nom d'auteur, et un LEFT JOIN sur `categories` pour charger le nom et
+ * le slug de catégorie — sans requête supplémentaire.
+ */
+final class PostRepository implements PostRepositoryInterface
+{
+    /**
+     * Fragment SELECT commun à toutes les requêtes de lecture (avec JOINs).
+     */
+    private const SELECT = '
+        SELECT posts.id, posts.title, posts.content, posts.slug,
+               posts.author_id, posts.category_id, posts.created_at, posts.updated_at,
+               users.username      AS author_username,
+               categories.name     AS category_name,
+               categories.slug     AS category_slug
+        FROM   posts
+        LEFT   JOIN users      ON users.id      = posts.author_id
+        LEFT   JOIN categories ON categories.id = posts.category_id
+    ';
+
+    /**
+     * @param PDO $db Instance de connexion à la base de données
+     */
+    public function __construct(private readonly PDO $db)
+    {
+    }
+
+    /**
+     * Retourne tous les articles triés du plus récent au plus ancien.
+     *
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[] La liste des articles
+     */
+    public function findAll(?int $categoryId = null): array
+    {
+        if ($categoryId !== null) {
+            $stmt = $this->db->prepare(self::SELECT . ' WHERE posts.category_id = :category_id ORDER BY posts.id DESC');
+            $stmt->execute([':category_id' => $categoryId]);
+        } else {
+            $stmt = $this->db->query(self::SELECT . ' ORDER BY posts.id DESC');
+            if ($stmt === false) {
+                throw new \RuntimeException('La requête SELECT sur posts a échoué.');
+            }
+        }
+
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Post::fromArray($row), $rows);
+    }
+
+    /**
+     * Retourne les N articles les plus récents, tous auteurs confondus.
+     *
+     * @param int $limit Nombre maximum d'articles à retourner
+     *
+     * @return Post[] Les articles les plus récents
+     */
+    public function findRecent(int $limit): array
+    {
+        $stmt = $this->db->prepare(self::SELECT . ' ORDER BY posts.id DESC LIMIT :limit');
+        $stmt->bindValue(':limit', $limit, PDO::PARAM_INT);
+        $stmt->execute();
+
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Post::fromArray($row), $rows);
+    }
+
+    /**
+     * Retourne tous les articles d'un utilisateur donné, triés du plus récent au plus ancien.
+     *
+     * @param int      $userId     Identifiant de l'auteur
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[] La liste des articles de cet utilisateur
+     */
+    public function findByUserId(int $userId, ?int $categoryId = null): array
+    {
+        if ($categoryId !== null) {
+            $stmt = $this->db->prepare(
+                self::SELECT . ' WHERE posts.author_id = :author_id AND posts.category_id = :category_id ORDER BY posts.id DESC'
+            );
+            $stmt->execute([':author_id' => $userId, ':category_id' => $categoryId]);
+        } else {
+            $stmt = $this->db->prepare(self::SELECT . ' WHERE posts.author_id = :author_id ORDER BY posts.id DESC');
+            $stmt->execute([':author_id' => $userId]);
+        }
+
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Post::fromArray($row), $rows);
+    }
+
+    /**
+     * Trouve un article par son slug URL.
+     *
+     * @param string $slug Le slug URL de l'article
+     *
+     * @return Post|null L'article trouvé, ou null s'il n'existe pas
+     */
+    public function findBySlug(string $slug): ?Post
+    {
+        $stmt = $this->db->prepare(self::SELECT . ' WHERE posts.slug = :slug');
+        $stmt->execute([':slug' => $slug]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? Post::fromArray($row) : null;
+    }
+
+    /**
+     * Trouve un article par son identifiant.
+     *
+     * @param int $id Identifiant de l'article
+     *
+     * @return Post|null L'article trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?Post
+    {
+        $stmt = $this->db->prepare(self::SELECT . ' WHERE posts.id = :id');
+        $stmt->execute([':id' => $id]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? Post::fromArray($row) : null;
+    }
+
+    /**
+     * Persiste un nouvel article en base de données.
+     *
+     * @param Post     $post       L'article à créer
+     * @param string   $slug       Le slug unique généré pour cet article
+     * @param int      $authorId   Identifiant de l'auteur
+     * @param int|null $categoryId Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(Post $post, string $slug, int $authorId, ?int $categoryId): int
+    {
+        $stmt = $this->db->prepare('
+            INSERT INTO posts (title, content, slug, author_id, category_id, created_at, updated_at)
+            VALUES (:title, :content, :slug, :author_id, :category_id, :created_at, :updated_at)
+        ');
+
+        $stmt->execute([
+            ':title'       => $post->getTitle(),
+            ':content'     => $post->getContent(),
+            ':slug'        => $slug,
+            ':author_id'   => $authorId,
+            ':category_id' => $categoryId,
+            ':created_at'  => date('Y-m-d H:i:s'),
+            ':updated_at'  => date('Y-m-d H:i:s'),
+        ]);
+
+        return (int) $this->db->lastInsertId();
+    }
+
+    /**
+     * Met à jour un article existant en base de données.
+     *
+     * Retourne le nombre de lignes affectées. Une valeur de 0 indique que
+     * l'article n'existe plus au moment de l'écriture (suppression concurrente).
+     *
+     * @param int      $id         Identifiant de l'article à modifier
+     * @param Post     $post       L'article avec les nouvelles données
+     * @param string   $slug       Le nouveau slug unique
+     * @param int|null $categoryId Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @return int Nombre de lignes affectées (0 si l'article n'existe plus)
+     */
+    public function update(int $id, Post $post, string $slug, ?int $categoryId): int
+    {
+        $stmt = $this->db->prepare('
+            UPDATE posts
+            SET title = :title, content = :content, slug = :slug,
+                category_id = :category_id, updated_at = :updated_at
+            WHERE id = :id
+        ');
+
+        $stmt->execute([
+            ':title'       => $post->getTitle(),
+            ':content'     => $post->getContent(),
+            ':slug'        => $slug,
+            ':category_id' => $categoryId,
+            ':updated_at'  => date('Y-m-d H:i:s'),
+            ':id'          => $id,
+        ]);
+
+        return $stmt->rowCount();
+    }
+
+    /**
+     * Supprime un article de la base de données.
+     *
+     * @param int $id Identifiant de l'article à supprimer
+     *
+     * @return int Nombre de lignes supprimées (0 si l'article n'existe plus)
+     */
+    public function delete(int $id): int
+    {
+        $stmt = $this->db->prepare('DELETE FROM posts WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+
+        return $stmt->rowCount();
+    }
+
+    /**
+     * Recherche des articles en plein texte via l'index FTS5.
+     *
+     * La requête est tokenisée mot par mot : chaque terme est traité comme un
+     * préfixe (ex: "slim" correspond à "Slim", "Slimframework"…). Les termes
+     * sont combinés en AND implicite — tous doivent être présents dans le document.
+     * Les caractères spéciaux FTS5 sont échappés par guillemets doubles.
+     *
+     * Les résultats sont triés par pertinence BM25 (meilleur en premier).
+     * Filtrages optionnels disponibles : par catégorie et/ou par auteur.
+     *
+     * @param string   $query      La saisie utilisateur brute
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     * @param int|null $authorId   Filtre optionnel par identifiant d'auteur (rôle user)
+     *
+     * @return Post[] Les articles correspondant à la recherche, triés par pertinence
+     */
+    public function search(string $query, ?int $categoryId = null, ?int $authorId = null): array
+    {
+        $ftsQuery = $this->buildFtsQuery($query);
+
+        if ($ftsQuery === '') {
+            return [];
+        }
+
+        $sql = '
+            SELECT p.id, p.title, p.content, p.slug,
+                   p.author_id, p.category_id, p.created_at, p.updated_at,
+                   u.username  AS author_username,
+                   c.name      AS category_name,
+                   c.slug      AS category_slug
+            FROM   posts_fts f
+            JOIN   posts      p ON p.id = f.rowid
+            LEFT   JOIN users      u ON u.id = p.author_id
+            LEFT   JOIN categories c ON c.id = p.category_id
+            WHERE  posts_fts MATCH :query
+        ';
+
+        $params = [':query' => $ftsQuery];
+
+        if ($categoryId !== null) {
+            $sql .= ' AND p.category_id = :category_id';
+            $params[':category_id'] = $categoryId;
+        }
+
+        if ($authorId !== null) {
+            $sql .= ' AND p.author_id = :author_id';
+            $params[':author_id'] = $authorId;
+        }
+
+        $sql .= ' ORDER BY rank';
+
+        $stmt = $this->db->prepare($sql);
+        $stmt->execute($params);
+
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => Post::fromArray($row), $rows);
+    }
+
+    /**
+     * Construit une requête FTS5 sûre depuis la saisie utilisateur.
+     *
+     * Chaque mot est wrappé entre guillemets doubles (échappement interne
+     * des guillemets par doublement) et suivi d'un `*` pour la recherche
+     * par préfixe. Les mots sont joints par un espace (AND implicite FTS5).
+     *
+     * @param string $input La saisie brute de l'utilisateur
+     *
+     * @return string La requête FTS5 prête à l'emploi, ou '' si vide
+     */
+    private function buildFtsQuery(string $input): string
+    {
+        $words = preg_split('/\s+/', trim($input), -1, PREG_SPLIT_NO_EMPTY) ?: [];
+
+        if (empty($words)) {
+            return '';
+        }
+
+        $terms = array_map(
+            fn ($w) => '"' . str_replace('"', '""', $w) . '"*',
+            $words
+        );
+
+        return implode(' ', $terms);
+    }
+
+    /**
+     * Vérifie si un slug est déjà utilisé par un autre article.
+     *
+     * @param string   $slug      Le slug à vérifier
+     * @param int|null $excludeId Identifiant à exclure de la vérification (pour les mises à jour)
+     *
+     * @return bool True si le slug est déjà pris par un autre article
+     */
+    public function slugExists(string $slug, ?int $excludeId = null): bool
+    {
+        $stmt = $this->db->prepare('SELECT id FROM posts WHERE slug = :slug');
+        $stmt->execute([':slug' => $slug]);
+
+        $existingId = $stmt->fetchColumn();
+
+        if ($existingId === false) {
+            return false;
+        }
+
+        $existingId = (int) $existingId;
+
+        if ($excludeId !== null) {
+            return $existingId !== $excludeId;
+        }
+
+        return true;
+    }
+}
diff --git a/src/Post/PostRepositoryInterface.php b/src/Post/PostRepositoryInterface.php
new file mode 100644
index 0000000..14936b8
--- /dev/null
+++ b/src/Post/PostRepositoryInterface.php
@@ -0,0 +1,113 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+/**
+ * Contrat de persistance des articles.
+ *
+ * Découple PostService de l'implémentation concrète PDO/SQLite,
+ * facilitant les mocks dans les tests unitaires.
+ */
+interface PostRepositoryInterface
+{
+    /**
+     * Retourne tous les articles triés du plus récent au plus ancien.
+     *
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[]
+     */
+    public function findAll(?int $categoryId = null): array;
+
+    /**
+     * Retourne les N articles les plus récents (flux RSS).
+     *
+     * @param int $limit Nombre maximum d'articles à retourner
+     *
+     * @return Post[]
+     */
+    public function findRecent(int $limit): array;
+
+    /**
+     * Retourne tous les articles d'un utilisateur donné.
+     *
+     * @param int      $userId     Identifiant de l'auteur
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[]
+     */
+    public function findByUserId(int $userId, ?int $categoryId = null): array;
+
+    /**
+     * Trouve un article par son slug URL.
+     *
+     * @param string $slug Le slug URL de l'article
+     *
+     * @return Post|null L'article trouvé, ou null s'il n'existe pas
+     */
+    public function findBySlug(string $slug): ?Post;
+
+    /**
+     * Trouve un article par son identifiant.
+     *
+     * @param int $id Identifiant de l'article
+     *
+     * @return Post|null L'article trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?Post;
+
+    /**
+     * Persiste un nouvel article en base de données.
+     *
+     * @param Post     $post       L'article à créer
+     * @param string   $slug       Le slug unique généré pour cet article
+     * @param int      $authorId   Identifiant de l'auteur
+     * @param int|null $categoryId Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(Post $post, string $slug, int $authorId, ?int $categoryId): int;
+
+    /**
+     * Met à jour un article existant.
+     *
+     * @param int      $id         Identifiant de l'article à modifier
+     * @param Post     $post       L'article avec les nouvelles données
+     * @param string   $slug       Le nouveau slug unique
+     * @param int|null $categoryId Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @return int Nombre de lignes affectées
+     */
+    public function update(int $id, Post $post, string $slug, ?int $categoryId): int;
+
+    /**
+     * Supprime un article de la base de données.
+     *
+     * @param int $id Identifiant de l'article à supprimer
+     *
+     * @return int Nombre de lignes supprimées
+     */
+    public function delete(int $id): int;
+
+    /**
+     * Recherche des articles en plein texte via FTS5.
+     *
+     * @param string   $query      La saisie utilisateur brute
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     * @param int|null $authorId   Filtre optionnel par identifiant d'auteur
+     *
+     * @return Post[]
+     */
+    public function search(string $query, ?int $categoryId = null, ?int $authorId = null): array;
+
+    /**
+     * Vérifie si un slug est déjà utilisé par un autre article.
+     *
+     * @param string   $slug      Le slug à vérifier
+     * @param int|null $excludeId Identifiant à exclure (mise à jour)
+     *
+     * @return bool True si le slug est déjà pris
+     */
+    public function slugExists(string $slug, ?int $excludeId = null): bool;
+}
diff --git a/src/Post/PostService.php b/src/Post/PostService.php
new file mode 100644
index 0000000..2d82e5e
--- /dev/null
+++ b/src/Post/PostService.php
@@ -0,0 +1,252 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Html\HtmlSanitizerInterface;
+use App\Shared\Util\SlugHelper;
+
+/**
+ * Service métier pour les articles.
+ *
+ * Centralise toute la logique qui ne relève ni du stockage (PostRepository)
+ * ni de la présentation (PostController / PostExtension) :
+ *  - génération et unicité des slugs
+ *  - sanitisation du contenu HTML à l'écriture
+ *  - orchestration des opérations create / update / delete
+ *
+ * Flux de sanitisation :
+ *  1. L'utilisateur saisit du HTML via Trumbowyg
+ *  2. createPost() / updatePost() passent le contenu brut à HtmlSanitizerInterface
+ *  3. HtmlSanitizerInterface (implémentée par HtmlSanitizer) délègue à HTMLPurifier, configuré pour n'autoriser
+ *     que les balises produites par Trumbowyg
+ *  4. Le contenu purifié est stocké en base — le filtre |raw dans Twig est sûr
+ */
+final class PostService implements PostServiceInterface
+{
+    /**
+     * @param PostRepositoryInterface $postRepository Dépôt de persistance des articles
+     * @param HtmlSanitizerInterface  $htmlSanitizer  Service de sanitisation HTML
+     */
+    public function __construct(
+        private readonly PostRepositoryInterface $postRepository,
+        private readonly HtmlSanitizerInterface $htmlSanitizer,
+    ) {
+    }
+
+    /**
+     * Retourne tous les articles triés du plus récent au plus ancien.
+     *
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[]
+     */
+    public function getAllPosts(?int $categoryId = null): array
+    {
+        return $this->postRepository->findAll($categoryId);
+    }
+
+    /**
+     * Retourne les N articles les plus récents pour le flux RSS.
+     *
+     * @param int $limit Nombre maximum d'articles à retourner (défaut : 20)
+     *
+     * @return Post[]
+     */
+    public function getRecentPosts(int $limit = 20): array
+    {
+        return $this->postRepository->findRecent($limit);
+    }
+
+    /**
+     * Retourne tous les articles d'un utilisateur donné.
+     *
+     * @param int      $userId     Identifiant de l'auteur
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[]
+     */
+    public function getPostsByUserId(int $userId, ?int $categoryId = null): array
+    {
+        return $this->postRepository->findByUserId($userId, $categoryId);
+    }
+
+    /**
+     * Retourne un article par son slug URL.
+     *
+     * @param string $slug Le slug URL de l'article
+     *
+     * @return Post L'article avec contenu sûr
+     *
+     * @throws NotFoundException Si aucun article ne correspond au slug
+     */
+    public function getPostBySlug(string $slug): Post
+    {
+        $post = $this->postRepository->findBySlug($slug);
+
+        if ($post === null) {
+            throw new NotFoundException('Article', $slug);
+        }
+
+        return $post;
+    }
+
+    /**
+     * Retourne un article par son identifiant.
+     *
+     * @param int $id Identifiant de l'article
+     *
+     * @return Post L'article avec son contenu
+     *
+     * @throws NotFoundException Si aucun article ne correspond à cet identifiant
+     */
+    public function getPostById(int $id): Post
+    {
+        $post = $this->postRepository->findById($id);
+
+        if ($post === null) {
+            throw new NotFoundException('Article', $id);
+        }
+
+        return $post;
+    }
+
+    /**
+     * Crée un nouvel article et retourne son identifiant.
+     *
+     * Un slug unique est généré à partir du titre. Si le slug existe déjà,
+     * un suffixe numérique est ajouté (ex: "mon-article-2").
+     * Le contenu HTML est sanitisé avant stockage.
+     *
+     * @param string   $title      Titre de l'article
+     * @param string   $content    Contenu HTML brut (sera sanitisé)
+     * @param int      $authorId   Identifiant de l'auteur
+     * @param int|null $categoryId Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @return int L'identifiant de l'article créé
+     *
+     * @throws \InvalidArgumentException Si le titre ou le contenu sont invalides
+     */
+    public function createPost(string $title, string $content, int $authorId, ?int $categoryId = null): int
+    {
+        $sanitizedContent = $this->htmlSanitizer->sanitize($content);
+        $post             = new Post(0, $title, $sanitizedContent);
+        $slug             = $this->generateUniqueSlug($post->generateSlug());
+
+        return $this->postRepository->create($post, $slug, $authorId, $categoryId);
+    }
+
+    /**
+     * Met à jour un article existant.
+     *
+     * Le slug est préservé par défaut. Si $newSlugInput est fourni et différent
+     * du slug actuel, il est nettoyé puis rendu unique avant d'être appliqué.
+     *
+     * @param int      $id           Identifiant de l'article à modifier
+     * @param string   $title        Nouveau titre
+     * @param string   $content      Nouveau contenu HTML brut (sera sanitisé)
+     * @param string   $newSlugInput Nouveau slug souhaité (vide = conserver l'actuel)
+     * @param int|null $categoryId   Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @throws NotFoundException         Si l'article n'existe plus
+     * @throws \InvalidArgumentException Si le titre ou le contenu sont invalides
+     * @return void
+     */
+    public function updatePost(
+        int $id,
+        string $title,
+        string $content,
+        string $newSlugInput = '',
+        ?int $categoryId = null,
+    ): void {
+        $current = $this->postRepository->findById($id);
+
+        if ($current === null) {
+            throw new NotFoundException('Article', $id);
+        }
+
+        $sanitizedContent = $this->htmlSanitizer->sanitize($content);
+        $post             = new Post($id, $title, $sanitizedContent);
+
+        $slugToUse      = $current->getStoredSlug();
+        $newSlugInput   = trim($newSlugInput);
+        $cleanSlugInput = $this->normalizeSlugInput($newSlugInput);
+
+        if ($cleanSlugInput !== '' && $cleanSlugInput !== $current->getStoredSlug()) {
+            $slugToUse = $this->generateUniqueSlug($cleanSlugInput, $id);
+        }
+
+        $affected = $this->postRepository->update($id, $post, $slugToUse, $categoryId);
+
+        if ($affected === 0) {
+            throw new NotFoundException('Article', $id);
+        }
+    }
+
+    /**
+     * Recherche des articles en plein texte via FTS5.
+     *
+     * @param string   $query      La saisie utilisateur brute
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     * @param int|null $authorId   Filtre optionnel par identifiant d'auteur
+     *
+     * @return Post[]
+     */
+    public function searchPosts(string $query, ?int $categoryId = null, ?int $authorId = null): array
+    {
+        return $this->postRepository->search($query, $categoryId, $authorId);
+    }
+
+    /**
+     * Supprime un article.
+     *
+     * @param int $id Identifiant de l'article à supprimer
+     *
+     * @throws NotFoundException Si l'article n'existe plus au moment de la suppression
+     */
+    public function deletePost(int $id): void
+    {
+        $affected = $this->postRepository->delete($id);
+
+        if ($affected === 0) {
+            throw new NotFoundException('Article', $id);
+        }
+    }
+
+    /**
+     * Nettoie une saisie utilisateur pour en faire un slug valide.
+     *
+     * Délègue à SlugHelper::generate() — voir sa documentation pour le détail
+     * de l'algorithme.
+     *
+     * @param string $input La valeur brute saisie par l'utilisateur
+     *
+     * @return string Le slug nettoyé, ou '' si invalide
+     */
+    private function normalizeSlugInput(string $input): string
+    {
+        return SlugHelper::generate($input);
+    }
+
+    /**
+     * Génère un slug unique en ajoutant un suffixe numérique si nécessaire.
+     *
+     * @param string   $baseSlug  Le slug de base généré depuis le titre
+     * @param int|null $excludeId Identifiant à exclure lors de la vérification (mise à jour)
+     *
+     * @return string Le slug garanti unique
+     */
+    private function generateUniqueSlug(string $baseSlug, ?int $excludeId = null): string
+    {
+        $slug    = $baseSlug;
+        $counter = 1;
+
+        while ($this->postRepository->slugExists($slug, $excludeId)) {
+            $slug = $baseSlug . '-' . $counter;
+            ++$counter;
+        }
+
+        return $slug;
+    }
+}
diff --git a/src/Post/PostServiceInterface.php b/src/Post/PostServiceInterface.php
new file mode 100644
index 0000000..20453ac
--- /dev/null
+++ b/src/Post/PostServiceInterface.php
@@ -0,0 +1,119 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use App\Shared\Exception\NotFoundException;
+
+/**
+ * Contrat du service de gestion des articles.
+ *
+ * Permet de mocker le service dans les tests unitaires sans dépendre
+ * de la classe concrète finale PostService.
+ */
+interface PostServiceInterface
+{
+    /**
+     * Retourne tous les articles publiés, avec un filtre optionnel par catégorie.
+     *
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[]
+     */
+    public function getAllPosts(?int $categoryId = null): array;
+
+    /**
+     * Retourne les articles les plus récents.
+     *
+     * @param int $limit Nombre maximum d'articles à retourner (défaut : 20)
+     *
+     * @return Post[]
+     */
+    public function getRecentPosts(int $limit = 20): array;
+
+    /**
+     * Retourne les articles d'un auteur donné.
+     *
+     * @param int      $userId     Identifiant de l'auteur
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     *
+     * @return Post[]
+     */
+    public function getPostsByUserId(int $userId, ?int $categoryId = null): array;
+
+    /**
+     * Retourne un article par son slug URL.
+     *
+     * @param string $slug Le slug URL de l'article
+     *
+     * @return Post L'article avec contenu sûr
+     *
+     * @throws NotFoundException Si aucun article ne correspond au slug
+     */
+    public function getPostBySlug(string $slug): Post;
+
+    /**
+     * Retourne un article par son identifiant.
+     *
+     * @param int $id Identifiant de l'article
+     *
+     * @return Post L'article avec son contenu
+     *
+     * @throws NotFoundException Si aucun article ne correspond à cet identifiant
+     */
+    public function getPostById(int $id): Post;
+
+    /**
+     * Crée un nouvel article.
+     *
+     * @param string   $title      Titre de l'article
+     * @param string   $content    Contenu HTML brut (sera sanitisé)
+     * @param int      $authorId   Identifiant de l'auteur
+     * @param int|null $categoryId Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @return int L'identifiant de l'article créé
+     *
+     * @throws \InvalidArgumentException Si le titre ou le contenu sont invalides
+     */
+    public function createPost(string $title, string $content, int $authorId, ?int $categoryId = null): int;
+
+    /**
+     * Met à jour un article existant.
+     *
+     * @param int      $id           Identifiant de l'article à modifier
+     * @param string   $title        Nouveau titre
+     * @param string   $content      Nouveau contenu HTML brut (sera sanitisé)
+     * @param string   $newSlugInput Nouveau slug souhaité (vide = conserver l'actuel)
+     * @param int|null $categoryId   Identifiant de la catégorie (null si sans catégorie)
+     *
+     * @throws NotFoundException         Si l'article n'existe plus
+     * @throws \InvalidArgumentException Si le titre ou le contenu sont invalides
+     */
+    public function updatePost(
+        int $id,
+        string $title,
+        string $content,
+        string $newSlugInput = '',
+        ?int $categoryId = null,
+    ): void;
+
+    /**
+     * Recherche des articles par mots-clés dans le titre, le contenu et l'auteur.
+     *
+     * @param string   $query      La saisie utilisateur brute
+     * @param int|null $categoryId Filtre optionnel par identifiant de catégorie
+     * @param int|null $authorId   Filtre optionnel par identifiant d'auteur
+     *
+     * @return Post[]
+     */
+    public function searchPosts(string $query, ?int $categoryId = null, ?int $authorId = null): array;
+
+    /**
+     * Supprime un article.
+     *
+     * @param int $id Identifiant de l'article à supprimer
+     *
+     * @throws NotFoundException Si l'article n'existe plus au moment de la suppression
+     */
+    public function deletePost(int $id): void;
+}
diff --git a/src/Post/RssController.php b/src/Post/RssController.php
new file mode 100644
index 0000000..a62d998
--- /dev/null
+++ b/src/Post/RssController.php
@@ -0,0 +1,94 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Post;
+
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+
+/**
+ * Contrôleur du flux RSS.
+ *
+ * Expose un flux RSS 2.0 des 20 articles les plus récents à l'URL /rss.xml.
+ * Le contenu HTML des articles est strippé pour le champ <description> afin
+ * de produire un résumé texte brut compatible avec tous les lecteurs RSS.
+ *
+ * Pas de vue Twig — le XML est généré directement via SimpleXMLElement
+ * pour rester indépendant du moteur de templates.
+ */
+final class RssController
+{
+    /**
+     * Nombre maximum d'articles inclus dans le flux RSS.
+     */
+    private const FEED_LIMIT = 20;
+
+    /**
+     * @param PostServiceInterface $postService Service de récupération des articles
+     * @param string      $appUrl      URL de base de l'application (depuis APP_URL dans .env)
+     * @param string      $appName     Nom du blog affiché dans le flux
+     */
+    public function __construct(
+        private readonly PostServiceInterface $postService,
+        private readonly string $appUrl,
+        private readonly string $appName,
+    ) {
+    }
+
+    /**
+     * Génère et retourne le flux RSS 2.0.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Le flux RSS en XML (application/rss+xml; charset=utf-8)
+     */
+    public function feed(Request $req, Response $res): Response
+    {
+        $posts   = $this->postService->getRecentPosts(self::FEED_LIMIT);
+        $baseUrl = $this->appUrl;
+
+        $xml = new \SimpleXMLElement(
+            '<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"></rss>'
+        );
+
+        $channel = $xml->addChild('channel');
+        $channel->addChild('title', htmlspecialchars($this->appName));
+        $channel->addChild('link', $baseUrl . '/');
+        $channel->addChild('description', htmlspecialchars($this->appName . ' — flux RSS'));
+        $channel->addChild('language', 'fr-FR');
+        $channel->addChild('lastBuildDate', (new \DateTime())->format(\DateTime::RSS));
+
+        foreach ($posts as $post) {
+            $item = $channel->addChild('item');
+            $item->addChild('title', htmlspecialchars($post->getTitle()));
+
+            $postUrl = $baseUrl . '/article/' . $post->getStoredSlug();
+            $item->addChild('link', $postUrl);
+            $item->addChild('guid', $postUrl);
+
+            // Extrait texte brut : strip_tags + truncature à 300 caractères
+            $excerpt = strip_tags($post->getContent());
+            $excerpt = mb_strlen($excerpt) > 300
+                ? mb_substr($excerpt, 0, 300) . '…'
+                : $excerpt;
+            $item->addChild('description', htmlspecialchars($excerpt));
+
+            $item->addChild('pubDate', $post->getCreatedAt()->format(\DateTime::RSS));
+
+            if ($post->getAuthorUsername() !== null) {
+                $item->addChild('author', htmlspecialchars($post->getAuthorUsername()));
+            }
+
+            if ($post->getCategoryName() !== null) {
+                $item->addChild('category', htmlspecialchars($post->getCategoryName()));
+            }
+        }
+
+        $body = $xml->asXML();
+
+        $res->getBody()->write($body !== false ? $body : '');
+
+        return $res->withHeader('Content-Type', 'application/rss+xml; charset=utf-8');
+    }
+}
diff --git a/src/Shared/Bootstrap.php b/src/Shared/Bootstrap.php
new file mode 100644
index 0000000..b29db16
--- /dev/null
+++ b/src/Shared/Bootstrap.php
@@ -0,0 +1,213 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared;
+
+use App\Post\PostExtension;
+use App\Shared\Database\Provisioner;
+use App\Shared\Extension\AppExtension;
+use App\Shared\Extension\CsrfExtension;
+use App\Shared\Extension\SessionExtension;
+use DI\ContainerBuilder;
+use Dotenv\Dotenv;
+use PDO;
+use Psr\Container\ContainerInterface;
+use Psr\Http\Message\ResponseInterface;
+use Psr\Http\Message\ServerRequestInterface;
+use Psr\Log\LoggerInterface;
+use Slim\App;
+use Slim\Csrf\Guard;
+use Slim\Exception\HttpException;
+use Slim\Factory\AppFactory;
+use Slim\Views\Twig;
+use Slim\Views\TwigMiddleware;
+use Throwable;
+
+final class Bootstrap
+{
+    private ?ContainerInterface $container = null;
+    private ?App $app = null;
+
+    public static function create(): self
+    {
+        return new self();
+    }
+
+    private function __construct()
+    {
+    }
+
+    public function initialize(): App
+    {
+        $this->initializeInfrastructure();
+        $this->runAutoProvisioningIfEnabled();
+
+        return $this->createHttpApp();
+    }
+
+    public function initializeInfrastructure(): ContainerInterface
+    {
+        if ($this->container !== null) {
+            return $this->container;
+        }
+
+        $this->checkDirectories();
+        $this->checkExtensions();
+        $this->loadEnvironment();
+        $this->buildContainer();
+
+        return $this->container;
+    }
+
+    public function createHttpApp(): App
+    {
+        if ($this->app !== null) {
+            return $this->app;
+        }
+
+        $container = $this->initializeInfrastructure();
+        $this->app = AppFactory::createFromContainer($container);
+
+        $this->registerMiddlewares();
+        $this->registerRoutes();
+        $this->configureErrorHandling();
+
+        return $this->app;
+    }
+
+    public function getContainer(): ContainerInterface
+    {
+        return $this->initializeInfrastructure();
+    }
+
+    private function buildContainer(): void
+    {
+        $isDev   = strtolower($_ENV['APP_ENV'] ?? 'production') === 'development';
+        $builder = new ContainerBuilder();
+        $builder->addDefinitions(__DIR__ . '/../../config/container.php');
+
+        if (!$isDev) {
+            $builder->enableCompilation(__DIR__ . '/../../var/cache/di');
+        }
+
+        $this->container = $builder->build();
+    }
+
+    private function checkDirectories(): void
+    {
+        $dirs = [
+            __DIR__.'/../../var/cache/twig',
+            __DIR__.'/../../var/cache/htmlpurifier',
+            __DIR__.'/../../var/cache/di',
+            __DIR__.'/../../var/logs',
+            __DIR__.'/../../database',
+            __DIR__.'/../../public/media',
+        ];
+
+        foreach ($dirs as $dir) {
+            if (!is_dir($dir) && !@mkdir($dir, 0755, true)) {
+                throw new \RuntimeException("Impossible de créer le répertoire : {$dir}");
+            }
+        }
+    }
+
+    private function checkExtensions(): void
+    {
+        if (!function_exists('imagewebp')) {
+            throw new \RuntimeException(
+                'L\'extension PHP GD avec le support WebP est requise. ' .
+                'Installez le paquet php-gd (ex: apt install php-gd) puis redémarrez PHP.'
+            );
+        }
+    }
+
+    private function loadEnvironment(): void
+    {
+        $dotenv = Dotenv::createImmutable(__DIR__.'/../..');
+        $dotenv->load();
+        $dotenv->required(['APP_URL', 'ADMIN_USERNAME', 'ADMIN_EMAIL', 'ADMIN_PASSWORD']);
+
+        date_default_timezone_set($_ENV['TIMEZONE'] ?? 'UTC');
+
+        $isDev = strtolower($_ENV['APP_ENV'] ?? 'production') === 'development';
+
+        if (!$isDev && ($_ENV['ADMIN_PASSWORD'] ?? '') === 'changeme123') {
+            throw new \RuntimeException(
+                'ADMIN_PASSWORD doit être changé avant de démarrer en production.'
+            );
+        }
+    }
+
+    private function runAutoProvisioningIfEnabled(): void
+    {
+        $flag    = strtolower(trim((string) ($_ENV['APP_AUTO_PROVISION'] ?? '')));
+        $isDev   = strtolower($_ENV['APP_ENV'] ?? 'production') === 'development';
+        $enabled = $flag !== ''
+            ? in_array($flag, ['1', 'true', 'yes', 'on'], true)
+            : $isDev;
+
+        if (!$enabled) {
+            return;
+        }
+
+        Provisioner::run($this->container->get(PDO::class));
+    }
+
+    private function registerMiddlewares(): void
+    {
+        $this->app->addBodyParsingMiddleware();
+
+        $twig = $this->container->get(Twig::class);
+        $twig->addExtension($this->container->get(AppExtension::class));
+        $twig->addExtension($this->container->get(SessionExtension::class));
+        $twig->addExtension($this->container->get(PostExtension::class));
+
+        $this->app->add(TwigMiddleware::create($this->app, $twig));
+
+        $guard = new Guard($this->app->getResponseFactory());
+        $guard->setPersistentTokenMode(true);
+        $twig->addExtension(new CsrfExtension($guard));
+        $this->app->add($guard);
+    }
+
+    private function registerRoutes(): void
+    {
+        Routes::register($this->app);
+    }
+
+    private function configureErrorHandling(): void
+    {
+        $isDev        = strtolower($_ENV['APP_ENV'] ?? 'production') === 'development';
+        $logger       = $this->container->get(LoggerInterface::class);
+        $errorHandler = $this->app->addErrorMiddleware($isDev, true, true, $logger);
+
+        $errorHandler->setDefaultErrorHandler(
+            function (
+                ServerRequestInterface $request,
+                Throwable $exception,
+                bool $displayErrorDetails,
+                bool $logErrors,
+                bool $logErrorDetails,
+            ) use ($isDev): ResponseInterface {
+                if ($isDev) {
+                    throw $exception;
+                }
+
+                $statusCode = 500;
+                if ($exception instanceof HttpException) {
+                    $statusCode = $exception->getCode() ?: 500;
+                }
+
+                $response = $this->app->getResponseFactory()->createResponse($statusCode);
+                $twig     = $this->container->get(Twig::class);
+
+                return $twig->render($response, 'pages/error.twig', [
+                    'status'  => $statusCode,
+                    'message' => $statusCode === 404
+                        ? 'La page demandée est introuvable.'
+                        : 'Une erreur inattendue s\'est produite.',
+                ]);
+            }
+        );
+    }
+}
diff --git a/src/Shared/Config.php b/src/Shared/Config.php
new file mode 100644
index 0000000..8f0d295
--- /dev/null
+++ b/src/Shared/Config.php
@@ -0,0 +1,61 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared;
+
+/**
+ * Classe de configuration de l'application.
+ *
+ * Centralise la résolution des chemins et paramètres
+ * qui dépendent de l'environnement d'exécution.
+ */
+final class Config
+{
+    /**
+     * Retourne le chemin du cache Twig, ou false si le cache est désactivé.
+     *
+     * Le cache Twig est désactivé en développement pour refléter
+     * immédiatement les modifications des templates.
+     * Le répertoire est créé en amont par Bootstrap::checkDirectories().
+     *
+     * @param bool $isDev True si l'application est en mode développement
+     *
+     * @return string|false Le chemin absolu du répertoire de cache, ou false
+     */
+    public static function getTwigCache(bool $isDev): string|false
+    {
+        if ($isDev) {
+            return false;
+        }
+
+        return __DIR__.'/../../var/cache/twig';
+    }
+
+    /**
+     * Retourne le chemin absolu vers le fichier de base de données SQLite.
+     *
+     * Crée le répertoire et le fichier s'ils n'existent pas encore.
+     * En pratique, Bootstrap::checkDirectories() crée le répertoire `database/`
+     * avant que cette méthode soit appelée ; les opérations @mkdir/@touch/@chmod
+     * ne seront actives que si getDatabasePath() est appelé hors du cycle Bootstrap
+     * (tests unitaires, scripts CLI, etc.).
+     *
+     * @return string Chemin absolu vers le fichier app.sqlite
+     */
+    public static function getDatabasePath(): string
+    {
+        $path = dirname(__DIR__, 2).'/database/app.sqlite';
+        $dir  = dirname($path);
+
+        if (!is_dir($dir)) {
+            @mkdir($dir, 0755, true);
+        }
+
+        if (!file_exists($path)) {
+            @touch($path);
+            @chmod($path, 0664);
+        }
+
+        return $path;
+    }
+}
diff --git a/src/Shared/Database/Migrator.php b/src/Shared/Database/Migrator.php
new file mode 100644
index 0000000..0718f92
--- /dev/null
+++ b/src/Shared/Database/Migrator.php
@@ -0,0 +1,137 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Database;
+
+use PDO;
+
+/**
+ * Gestionnaire de migrations de base de données.
+ *
+ * Responsabilité unique : exécuter les migrations DDL et synchroniser
+ * l'index FTS5. Le provisionnement des données initiales est délégué
+ * à {@see Seeder}.
+ *
+ * Convention des fichiers de migration :
+ *   - Placés dans database/migrations/
+ *   - Nommés NNN_description.php (ex: 001_create_users.php)
+ *   - Retournent un tableau ['up' => 'SQL...', 'down' => 'SQL...']
+ *   - Triés et exécutés par ordre alphanumérique croissant
+ *
+ * run() est idempotent et sûr à appeler à chaque démarrage applicatif :
+ * les migrations déjà appliquées ne sont jamais rejouées.
+ */
+final class Migrator
+{
+    /**
+     * Répertoire contenant les fichiers de migration.
+     */
+    private const MIGRATIONS_DIR = __DIR__ . '/../../../database/migrations';
+
+    /**
+     * Exécute les migrations en attente puis synchronise l'index FTS5.
+     *
+     * Opération idempotente et sans effets de bord sur les données :
+     * sûre à appeler à chaque démarrage applicatif.
+     *
+     * Séquence :
+     *   1. Crée la table de suivi si absente
+     *   2. Joue les migrations en attente
+     *   3. Indexe dans posts_fts les articles absents de l'index (syncFtsIndex)
+     *
+     * @param PDO $db L'instance de connexion à la base de données
+     */
+    public static function run(PDO $db): void
+    {
+        self::createMigrationTable($db);
+        self::runPendingMigrations($db);
+        self::syncFtsIndex($db);
+    }
+
+    /**
+     * Crée la table de suivi des migrations si elle n'existe pas.
+     *
+     * Cette table doit exister avant de pouvoir lire les migrations appliquées.
+     *
+     * @param PDO $db L'instance de connexion à la base de données
+     */
+    private static function createMigrationTable(PDO $db): void
+    {
+        $db->exec('
+            CREATE TABLE IF NOT EXISTS migrations (
+                id      INTEGER PRIMARY KEY AUTOINCREMENT,
+                version TEXT NOT NULL UNIQUE,
+                run_at  DATETIME DEFAULT CURRENT_TIMESTAMP
+            )
+        ');
+    }
+
+    /**
+     * Charge les fichiers de migration, filtre ceux déjà appliqués
+     * et exécute les migrations en attente dans l'ordre.
+     *
+     * @param PDO $db L'instance de connexion à la base de données
+     */
+    private static function runPendingMigrations(PDO $db): void
+    {
+        // Versions déjà appliquées (indexées pour un accès O(1))
+        $stmt    = $db->query('SELECT version FROM migrations');
+        $rows    = $stmt ? $stmt->fetchAll(PDO::FETCH_COLUMN) : [];
+        $applied = array_flip($rows);
+
+        // Fichiers de migration triés par nom (ordre alphanumérique = ordre numérique)
+        $files = glob(self::MIGRATIONS_DIR . '/*.php') ?: [];
+        sort($files);
+
+        $insert = $db->prepare('INSERT INTO migrations (version, run_at) VALUES (:version, :run_at)');
+
+        foreach ($files as $file) {
+            $version = basename($file, '.php');
+
+            if (isset($applied[$version])) {
+                continue;
+            }
+
+            // require évalue le fichier à chaque appel dans la boucle.
+            // require_once aurait mis en cache le résultat du premier fichier
+            // et l'aurait réutilisé pour tous les suivants — à ne pas utiliser ici.
+            $migration = require $file;
+
+            $db->exec($migration['up']);
+
+            $insert->execute([
+                ':version' => $version,
+                ':run_at'  => date('Y-m-d H:i:s'),
+            ]);
+        }
+    }
+
+    /**
+     * Synchronise l'index FTS5 avec les articles présents en base.
+     *
+     * Insère dans posts_fts les articles dont le rowid est absent de l'index.
+     * Idempotent et sans effet si l'index est déjà à jour.
+     *
+     * Nécessaire car les triggers FTS5 ne couvrent que les INSERT/UPDATE/DELETE
+     * effectués APRÈS leur création — les articles existants au moment de la
+     * migration 006 ne sont pas indexés rétroactivement.
+     *
+     * strip_tags() est enregistrée comme fonction SQLite dans container.php via
+     * sqliteCreateFunction() avant l'appel à Migrator::run() — elle est donc
+     * disponible ici.
+     *
+     * @param PDO $db L'instance de connexion à la base de données
+     */
+    private static function syncFtsIndex(PDO $db): void
+    {
+        $db->exec("
+            INSERT INTO posts_fts(rowid, title, content, author_username)
+            SELECT p.id,
+                   p.title,
+                   COALESCE(strip_tags(p.content), ''),
+                   COALESCE((SELECT username FROM users WHERE id = p.author_id), '')
+            FROM   posts p
+            WHERE  p.id NOT IN (SELECT rowid FROM posts_fts)
+        ");
+    }
+}
diff --git a/src/Shared/Database/Provisioner.php b/src/Shared/Database/Provisioner.php
new file mode 100644
index 0000000..68d60a1
--- /dev/null
+++ b/src/Shared/Database/Provisioner.php
@@ -0,0 +1,37 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Database;
+
+use PDO;
+
+/**
+ * Orchestration du provisionnement de la base de données.
+ *
+ * Exécute les migrations puis le seeding éventuel sous verrou fichier
+ * afin d'éviter les exécutions concurrentes au démarrage ou en CLI.
+ */
+final class Provisioner
+{
+    public static function run(PDO $db): void
+    {
+        $lockPath = __DIR__ . '/../../../database/.provision.lock';
+        $handle = fopen($lockPath, 'c+');
+
+        if ($handle === false) {
+            throw new \RuntimeException('Impossible d\'ouvrir le verrou de provisionnement');
+        }
+
+        try {
+            if (!flock($handle, LOCK_EX)) {
+                throw new \RuntimeException('Impossible d\'obtenir le verrou de provisionnement');
+            }
+
+            Migrator::run($db);
+            Seeder::seed($db);
+        } finally {
+            flock($handle, LOCK_UN);
+            fclose($handle);
+        }
+    }
+}
diff --git a/src/Shared/Database/Seeder.php b/src/Shared/Database/Seeder.php
new file mode 100644
index 0000000..1952d53
--- /dev/null
+++ b/src/Shared/Database/Seeder.php
@@ -0,0 +1,71 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Database;
+
+use PDO;
+
+/**
+ * Provisionnement des données initiales de l'application.
+ *
+ * Responsabilité unique : insérer les données nécessaires au premier démarrage
+ * (compte administrateur). N'exécute jamais de DDL — c'est le rôle du Migrator.
+ *
+ * Toutes les opérations sont idempotentes : le Seeder peut être appelé à chaque
+ * démarrage sans risque de doublon ni d'erreur si les données existent déjà.
+ *
+ * Variables d'environnement lues depuis .env :
+ *   - ADMIN_USERNAME  — nom d'utilisateur du compte admin (normalisé en minuscules)
+ *   - ADMIN_EMAIL     — adresse e-mail du compte admin (normalisée en minuscules)
+ *   - ADMIN_PASSWORD  — mot de passe en clair, haché en bcrypt avant insertion
+ */
+final class Seeder
+{
+    /**
+     * Exécute toutes les opérations de provisionnement.
+     *
+     * Appelé dans Bootstrap::initialize() après Migrator::run(), une fois
+     * que le schéma est garanti à jour.
+     *
+     * @param PDO $db L'instance de connexion à la base de données
+     */
+    public static function seed(PDO $db): void
+    {
+        self::seedAdminUser($db);
+    }
+
+    /**
+     * Crée le compte administrateur défini dans les variables d'environnement.
+     *
+     * Opération idempotente : le compte n'est créé que s'il n'existe pas encore.
+     * Sans effet si un utilisateur portant le même nom d'utilisateur est déjà présent.
+     *
+     * @param PDO $db L'instance de connexion à la base de données
+     */
+    private static function seedAdminUser(PDO $db): void
+    {
+        $username = mb_strtolower(trim($_ENV['ADMIN_USERNAME'] ?? 'admin'));
+        $email    = mb_strtolower(trim($_ENV['ADMIN_EMAIL']    ?? 'admin@example.com'));
+        $password = $_ENV['ADMIN_PASSWORD'] ?? 'changeme123';
+
+        $stmt = $db->prepare('SELECT id FROM users WHERE username = :username');
+        $stmt->execute([':username' => $username]);
+
+        if ($stmt->fetchColumn() !== false) {
+            return;
+        }
+
+        $stmt = $db->prepare('
+            INSERT INTO users (username, email, password_hash, role, created_at)
+            VALUES (:username, :email, :password_hash, :role, :created_at)
+        ');
+
+        $stmt->execute([
+            ':username'      => $username,
+            ':email'         => $email,
+            ':password_hash' => password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]),
+            ':role'          => 'admin',
+            ':created_at'    => date('Y-m-d H:i:s'),
+        ]);
+    }
+}
diff --git a/src/Shared/Exception/NotFoundException.php b/src/Shared/Exception/NotFoundException.php
new file mode 100644
index 0000000..e9bdc14
--- /dev/null
+++ b/src/Shared/Exception/NotFoundException.php
@@ -0,0 +1,22 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Exception;
+
+/**
+ * Exception levée lorsqu'une entité est introuvable en base de données.
+ *
+ * Exception générique réutilisable dans tous les domaines pour signaler
+ * qu'une ressource demandée n'existe pas ou n'existe plus.
+ */
+final class NotFoundException extends \RuntimeException
+{
+    /**
+     * @param string $entity Type de l'entité (ex: 'Article', 'Utilisateur')
+     * @param int|string $identifier Identifiant de l'entité (id ou slug)
+     */
+    public function __construct(string $entity, int|string $identifier)
+    {
+        parent::__construct("{$entity} introuvable : {$identifier}");
+    }
+}
diff --git a/src/Shared/Extension/AppExtension.php b/src/Shared/Extension/AppExtension.php
new file mode 100644
index 0000000..3e551b6
--- /dev/null
+++ b/src/Shared/Extension/AppExtension.php
@@ -0,0 +1,36 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Extension;
+
+use Twig\Extension\AbstractExtension;
+use Twig\Extension\GlobalsInterface;
+
+/**
+ * Extension Twig pour les variables globales de l'application.
+ *
+ * Expose la variable globale `app_url` dans tous les templates Twig,
+ * utile pour construire des URLs absolues (balises OG, flux RSS, emails…).
+ *
+ * Usage dans un template :
+ *   <meta property="og:url" content="{{ app_url }}{{ post_url(post) }}">
+ */
+final class AppExtension extends AbstractExtension implements GlobalsInterface
+{
+    /**
+     * @param string $appUrl URL de base de l'application, sans slash final (depuis APP_URL dans .env)
+     */
+    public function __construct(private readonly string $appUrl)
+    {
+    }
+
+    /**
+     * Retourne les variables globales injectées dans tous les templates.
+     *
+     * @return array<string, mixed>
+     */
+    public function getGlobals(): array
+    {
+        return ['app_url' => $this->appUrl];
+    }
+}
diff --git a/src/Shared/Extension/CsrfExtension.php b/src/Shared/Extension/CsrfExtension.php
new file mode 100644
index 0000000..e1261d9
--- /dev/null
+++ b/src/Shared/Extension/CsrfExtension.php
@@ -0,0 +1,47 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Extension;
+
+use Slim\Csrf\Guard;
+use Twig\Extension\AbstractExtension;
+use Twig\Extension\GlobalsInterface;
+
+/**
+ * Extension Twig pour l'accès aux tokens CSRF dans les templates.
+ *
+ * Expose une variable globale `csrf` dans tous les templates Twig,
+ * permettant d'injecter les champs cachés nécessaires dans les formulaires.
+ *
+ * Usage dans un template :
+ *   <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+ *   <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+ */
+final class CsrfExtension extends AbstractExtension implements GlobalsInterface
+{
+    /**
+     * @param Guard $csrf Instance du middleware CSRF de Slim
+     */
+    public function __construct(private readonly Guard $csrf)
+    {
+    }
+
+    /**
+     * Retourne les variables globales injectées dans tous les templates.
+     *
+     * @return array<string, mixed>
+     */
+    public function getGlobals(): array
+    {
+        return [
+            'csrf' => [
+                'keys' => [
+                    'name' => $this->csrf->getTokenNameKey(),
+                    'value' => $this->csrf->getTokenValueKey(),
+                ],
+                'name' => $this->csrf->getTokenName(),
+                'value' => $this->csrf->getTokenValue(),
+            ],
+        ];
+    }
+}
diff --git a/src/Shared/Extension/SessionExtension.php b/src/Shared/Extension/SessionExtension.php
new file mode 100644
index 0000000..3e60564
--- /dev/null
+++ b/src/Shared/Extension/SessionExtension.php
@@ -0,0 +1,42 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Extension;
+
+use Twig\Extension\AbstractExtension;
+use Twig\Extension\GlobalsInterface;
+
+/**
+ * Extension Twig pour l'accès aux données de session dans les templates.
+ *
+ * Expose la variable globale `session` dans tous les templates Twig,
+ * permettant de lire les données de session sans logique PHP dans les vues.
+ *
+ * Usage dans un template :
+ *   {% if session.user_id is defined %}
+ *     Connecté en tant que {{ session.username }}
+ *   {% endif %}
+ */
+final class SessionExtension extends AbstractExtension implements GlobalsInterface
+{
+    /**
+     * Retourne les variables globales injectées dans tous les templates.
+     *
+     * Seules les données nécessaires aux templates sont exposées, et non
+     * la totalité de $_SESSION. Cela évite d'exposer les messages flash
+     * non encore consommés, les tokens CSRF internes et toute autre donnée
+     * de session ajoutée à l'avenir.
+     *
+     * @return array<string, array<string, mixed>>
+     */
+    public function getGlobals(): array
+    {
+        return [
+            'session' => [
+                'user_id'  => $_SESSION['user_id'] ?? null,
+                'username' => $_SESSION['username'] ?? null,
+                'role'     => $_SESSION['role'] ?? null,
+            ],
+        ];
+    }
+}
diff --git a/src/Shared/Html/HtmlPurifierFactory.php b/src/Shared/Html/HtmlPurifierFactory.php
new file mode 100644
index 0000000..0765c8e
--- /dev/null
+++ b/src/Shared/Html/HtmlPurifierFactory.php
@@ -0,0 +1,66 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Html;
+
+use HTMLPurifier;
+use HTMLPurifier_Config;
+
+/**
+ * Factory de configuration pour HTMLPurifier.
+ *
+ * Centralise la création et la configuration d'une instance HTMLPurifier
+ * avec les balises, attributs et schémas URI autorisés pour le contenu
+ * des articles produit par l'éditeur Trumbowyg.
+ *
+ * Règles de sécurité appliquées :
+ *  - Balises autorisées alignées sur les boutons Trumbowyg (img autorisé via plugin upload)
+ *  - Schémas URI restreints à http, https et mailto (bloque javascript:, data:)
+ *  - Conversion automatique des URL nues en liens (AutoFormat.Linkify)
+ */
+final class HtmlPurifierFactory
+{
+    /**
+     * Crée et retourne une instance HTMLPurifier préconfigurée.
+     *
+     * Les balises autorisées sont alignées sur les boutons Trumbowyg exposés
+     * dans l'éditeur et le plugin trumbowyg.upload.
+     *
+     * Sécurité URI : seuls les schémas http, https et mailto sont autorisés
+     * dans les attributs href, ce qui bloque les liens javascript: et data:.
+     *
+     * @param string $cacheDir Chemin absolu vers le répertoire de cache HTMLPurifier
+     *                         (créé automatiquement s'il n'existe pas)
+     *
+     * @return HTMLPurifier L'instance configurée et prête à purifier
+     */
+    public static function create(string $cacheDir): HTMLPurifier
+    {
+        if (!is_dir($cacheDir)) {
+            @mkdir($cacheDir, 0755, true);
+        }
+
+        $config = HTMLPurifier_Config::createDefault();
+
+        // Balises autorisées avec attribut style sur les éléments de texte
+        $config->set(
+            'HTML.Allowed',
+            'p[style],br,strong,em,u,del,h1[style],h2[style],h3[style],h4[style],h5[style],h6[style],ul,ol,li[style],blockquote[style],pre,a[href|title],img[src|alt|width|height]'
+        );
+
+        // Autoriser uniquement la propriété CSS text-align (sécurité)
+        $config->set('CSS.AllowedProperties', ['text-align']);
+
+        // Restriction des schémas URI autorisés dans href
+        $config->set('URI.AllowedSchemes', ['http' => true, 'https' => true, 'mailto' => true]);
+
+        // Conversion automatique des URL nues en liens cliquables
+        $config->set('AutoFormat.Linkify', true);
+
+        // Configuration du cache de définitions HTMLPurifier
+        $config->set('Cache.DefinitionImpl', 'Serializer');
+        $config->set('Cache.SerializerPath', $cacheDir);
+
+        return new HTMLPurifier($config);
+    }
+}
diff --git a/src/Shared/Html/HtmlSanitizer.php b/src/Shared/Html/HtmlSanitizer.php
new file mode 100644
index 0000000..70de48e
--- /dev/null
+++ b/src/Shared/Html/HtmlSanitizer.php
@@ -0,0 +1,34 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Html;
+
+use HTMLPurifier;
+
+/**
+ * Service de sanitisation du contenu HTML.
+ *
+ * Délègue le nettoyage du HTML à HTMLPurifier pour supprimer
+ * tout contenu potentiellement malveillant (XSS, balises non autorisées).
+ */
+final class HtmlSanitizer implements HtmlSanitizerInterface
+{
+    /**
+     * @param HTMLPurifier $purifier Instance préconfigurée via HtmlPurifierFactory
+     */
+    public function __construct(private readonly HTMLPurifier $purifier)
+    {
+    }
+
+    /**
+     * Nettoie le contenu HTML fourni et retourne une version sûre.
+     *
+     * @param string $html Le contenu HTML brut à sanitiser
+     *
+     * @return string Le contenu HTML nettoyé
+     */
+    public function sanitize(string $html): string
+    {
+        return $this->purifier->purify($html);
+    }
+}
diff --git a/src/Shared/Html/HtmlSanitizerInterface.php b/src/Shared/Html/HtmlSanitizerInterface.php
new file mode 100644
index 0000000..27c3385
--- /dev/null
+++ b/src/Shared/Html/HtmlSanitizerInterface.php
@@ -0,0 +1,19 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Html;
+
+/**
+ * Contrat pour la sanitisation du contenu HTML.
+ */
+interface HtmlSanitizerInterface
+{
+    /**
+     * Nettoie le contenu HTML fourni et retourne une version sûre.
+     *
+     * @param string $html Le contenu HTML brut à sanitiser
+     *
+     * @return string Le contenu HTML nettoyé
+     */
+    public function sanitize(string $html): string;
+}
diff --git a/src/Shared/Http/ClientIpResolver.php b/src/Shared/Http/ClientIpResolver.php
new file mode 100644
index 0000000..d01af8a
--- /dev/null
+++ b/src/Shared/Http/ClientIpResolver.php
@@ -0,0 +1,58 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Http;
+
+use Psr\Http\Message\ServerRequestInterface;
+
+/**
+ * Résout l'adresse IP cliente à partir de la requête HTTP.
+ *
+ * L'en-tête X-Forwarded-For n'est pris en compte que si REMOTE_ADDR
+ * correspond à un proxy explicitement approuvé. En l'absence d'IP
+ * exploitable, la valeur de repli '0.0.0.0' est renvoyée.
+ */
+final class ClientIpResolver
+{
+    /**
+     * @param string[] $trustedProxies
+     */
+    public function __construct(private readonly array $trustedProxies = [])
+    {
+    }
+
+    public function resolve(ServerRequestInterface $request): string
+    {
+        $serverParams = $request->getServerParams();
+        $remoteAddr   = trim((string) ($serverParams['REMOTE_ADDR'] ?? ''));
+
+        if ($remoteAddr === '') {
+            return '0.0.0.0';
+        }
+
+        if (!$this->isTrustedProxy($remoteAddr)) {
+            return $remoteAddr;
+        }
+
+        $forwarded = trim((string) ($serverParams['HTTP_X_FORWARDED_FOR'] ?? ''));
+
+        if ($forwarded === '') {
+            return $remoteAddr;
+        }
+
+        $candidate = trim(explode(',', $forwarded)[0]);
+
+        return filter_var($candidate, FILTER_VALIDATE_IP) ? $candidate : $remoteAddr;
+    }
+
+    private function isTrustedProxy(string $remoteAddr): bool
+    {
+        foreach ($this->trustedProxies as $proxy) {
+            if ($proxy === '*' || $proxy === $remoteAddr) {
+                return true;
+            }
+        }
+
+        return false;
+    }
+}
diff --git a/src/Shared/Http/FlashService.php b/src/Shared/Http/FlashService.php
new file mode 100644
index 0000000..194c2bd
--- /dev/null
+++ b/src/Shared/Http/FlashService.php
@@ -0,0 +1,45 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Http;
+
+/**
+ * Service de messages flash.
+ *
+ * Gère les messages temporaires stockés en session pour être affichés
+ * après une redirection HTTP. Un message flash est lu une seule fois
+ * puis supprimé automatiquement.
+ */
+final class FlashService implements FlashServiceInterface
+{
+    /**
+     * Enregistre un message flash en session.
+     *
+     * @param string $key     Clé d'identification du message (ex: 'login_error')
+     * @param string $message Texte du message à afficher
+     * @return void
+     */
+    public function set(string $key, string $message): void
+    {
+        $_SESSION['flash'][$key] = $message;
+    }
+
+    /**
+     * Récupère un message flash et le supprime de la session.
+     *
+     * Le cast (string) protège contre une valeur non-string stockée
+     * directement dans $_SESSION['flash'] (ex: entier ou booléen) sans
+     * passer par set(), tout en garantissant le type de retour déclaré.
+     *
+     * @param string $key Clé d'identification du message
+     *
+     * @return string|null Le message, ou null s'il n'existe pas
+     */
+    public function get(string $key): ?string
+    {
+        $message = $_SESSION['flash'][$key] ?? null;
+        unset($_SESSION['flash'][$key]);
+
+        return $message !== null ? (string) $message : null;
+    }
+}
diff --git a/src/Shared/Http/FlashServiceInterface.php b/src/Shared/Http/FlashServiceInterface.php
new file mode 100644
index 0000000..58332e1
--- /dev/null
+++ b/src/Shared/Http/FlashServiceInterface.php
@@ -0,0 +1,31 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Http;
+
+/**
+ * Contrat du service de messages flash.
+ *
+ * Permet de mocker les messages flash dans les tests unitaires
+ * sans dépendre de la classe concrète finale FlashService.
+ */
+interface FlashServiceInterface
+{
+    /**
+     * Enregistre un message flash en session.
+     *
+     * @param string $key     Clé d'identification du message (ex: 'login_error')
+     * @param string $message Texte du message à afficher
+     * @return void
+     */
+    public function set(string $key, string $message): void;
+
+    /**
+     * Récupère un message flash et le supprime de la session.
+     *
+     * @param string $key Clé d'identification du message
+     *
+     * @return string|null Le message, ou null s'il n'existe pas
+     */
+    public function get(string $key): ?string;
+}
diff --git a/src/Shared/Http/SessionManager.php b/src/Shared/Http/SessionManager.php
new file mode 100644
index 0000000..fd5ce91
--- /dev/null
+++ b/src/Shared/Http/SessionManager.php
@@ -0,0 +1,112 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Http;
+
+/**
+ * Gestionnaire de session.
+ *
+ * Centralise toutes les manipulations de $_SESSION pour éviter
+ * les accès directs au superglobal depuis les services métier.
+ * Utilisé par AuthService pour la gestion de l'authentification.
+ */
+final class SessionManager implements SessionManagerInterface
+{
+    /**
+     * Stocke l'identifiant, le nom et le rôle de l'utilisateur connecté en session.
+     *
+     * Régénère l'identifiant de session avant d'écrire les données utilisateur
+     * pour prévenir la fixation de session : un attaquant qui connaîtrait
+     * l'ID de session anonyme ne peut pas hériter de la session authentifiée.
+     *
+     * @param int    $userId   Identifiant de l'utilisateur
+     * @param string $username Nom d'utilisateur
+     * @param string $role     Rôle de l'utilisateur : 'user', 'editor' ou 'admin'
+     * @return void
+     */
+    public function setUser(int $userId, string $username, string $role = 'user'): void
+    {
+        // Régénération de l'ID de session pour prévenir la fixation de session.
+        // Le guard évite une notice PHP en contexte CLI (tests unitaires).
+        if (session_status() === PHP_SESSION_ACTIVE) {
+            session_regenerate_id(true);
+        }
+
+        $_SESSION['user_id']  = $userId;
+        $_SESSION['username'] = $username;
+        $_SESSION['role']     = $role;
+    }
+
+    /**
+     * Retourne l'identifiant de l'utilisateur connecté.
+     *
+     * @return int|null L'identifiant, ou null si aucune session active
+     */
+    public function getUserId(): ?int
+    {
+        return isset($_SESSION['user_id']) && $_SESSION['user_id'] !== ''
+            ? (int) $_SESSION['user_id']
+            : null;
+    }
+
+    /**
+     * Vérifie si une session utilisateur est active.
+     *
+     * @return bool True si un utilisateur est connecté
+     */
+    public function isAuthenticated(): bool
+    {
+        return $this->getUserId() !== null;
+    }
+
+    /**
+     * Vérifie si l'utilisateur connecté est administrateur.
+     *
+     * @return bool True si l'utilisateur a le rôle 'admin'
+     */
+    public function isAdmin(): bool
+    {
+        return ($_SESSION['role'] ?? '') === 'admin';
+    }
+
+    /**
+     * Vérifie si l'utilisateur connecté est éditeur.
+     *
+     * @return bool True si l'utilisateur a le rôle 'editor'
+     */
+    public function isEditor(): bool
+    {
+        return ($_SESSION['role'] ?? '') === 'editor';
+    }
+
+    /**
+     * Détruit la session courante.
+     *
+     * Vide les données, expire le cookie de session (avec les mêmes attributs
+     * que lors de sa création) et détruit la session PHP.
+     * L'attribut SameSite=Lax limite l'envoi du cookie aux navigations
+     * de premier niveau, réduisant l'exposition aux attaques CSRF.
+     */
+    public function destroy(): void
+    {
+        $_SESSION = [];
+
+        if (session_id() !== '') {
+            $sessionName = session_name();
+
+            if ($sessionName !== false) {
+                setcookie($sessionName, '', [
+                    'expires'  => time() - 3600,
+                    'path'     => '/',
+                    'secure'   => !empty($_SERVER['HTTPS']),
+                    'httponly' => true,
+                    'samesite' => 'Lax',
+                ]);
+            }
+        }
+
+        if (session_status() === PHP_SESSION_ACTIVE) {
+            session_destroy();
+        }
+    }
+}
diff --git a/src/Shared/Http/SessionManagerInterface.php b/src/Shared/Http/SessionManagerInterface.php
new file mode 100644
index 0000000..f6c07c6
--- /dev/null
+++ b/src/Shared/Http/SessionManagerInterface.php
@@ -0,0 +1,56 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Http;
+
+/**
+ * Contrat du gestionnaire de session.
+ *
+ * Permet de mocker la gestion de session dans les tests unitaires
+ * sans dépendre de la classe concrète finale SessionManager.
+ */
+interface SessionManagerInterface
+{
+    /**
+     * Stocke l'identifiant, le nom et le rôle de l'utilisateur connecté en session.
+     *
+     * @param int    $userId   Identifiant de l'utilisateur
+     * @param string $username Nom d'utilisateur
+     * @param string $role     Rôle de l'utilisateur : 'user', 'editor' ou 'admin'
+     * @return void
+     */
+    public function setUser(int $userId, string $username, string $role = 'user'): void;
+
+    /**
+     * Retourne l'identifiant de l'utilisateur connecté.
+     *
+     * @return int|null L'identifiant, ou null si aucune session active
+     */
+    public function getUserId(): ?int;
+
+    /**
+     * Vérifie si une session utilisateur est active.
+     *
+     * @return bool True si un utilisateur est connecté
+     */
+    public function isAuthenticated(): bool;
+
+    /**
+     * Vérifie si l'utilisateur connecté est administrateur.
+     *
+     * @return bool True si l'utilisateur a le rôle 'admin'
+     */
+    public function isAdmin(): bool;
+
+    /**
+     * Vérifie si l'utilisateur connecté est éditeur.
+     *
+     * @return bool True si l'utilisateur a le rôle 'editor'
+     */
+    public function isEditor(): bool;
+
+    /**
+     * Détruit la session courante.
+     */
+    public function destroy(): void;
+}
diff --git a/src/Shared/Mail/MailService.php b/src/Shared/Mail/MailService.php
new file mode 100644
index 0000000..96aca6e
--- /dev/null
+++ b/src/Shared/Mail/MailService.php
@@ -0,0 +1,95 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Mail;
+
+use PHPMailer\PHPMailer\Exception as MailerException;
+use PHPMailer\PHPMailer\PHPMailer;
+use Slim\Views\Twig;
+
+/**
+ * Service d'envoi d'emails.
+ *
+ * Wrapper autour de PHPMailer configuré depuis les variables d'environnement.
+ * Le rendu des templates est délégué à Twig — les templates d'emails
+ * sont des vues autonomes dans views/emails/ (pas d'héritage de layout.twig).
+ */
+final class MailService implements MailServiceInterface
+{
+    /**
+     * @param Twig   $twig       Instance Twig pour le rendu des templates d'emails
+     * @param string $host       Serveur SMTP
+     * @param int    $port       Port SMTP (465 pour SSL, 587 pour TLS)
+     * @param string $username   Identifiant SMTP
+     * @param string $password   Mot de passe SMTP
+     * @param string $encryption Chiffrement : 'ssl' ou 'tls'
+     * @param string $from       Adresse expéditeur
+     * @param string $fromName   Nom expéditeur
+     */
+    public function __construct(
+        private readonly Twig   $twig,
+        private readonly string $host,
+        private readonly int    $port,
+        private readonly string $username,
+        private readonly string $password,
+        private readonly string $encryption,
+        private readonly string $from,
+        private readonly string $fromName,
+    ) {
+    }
+
+    /**
+     * Envoie un email HTML à partir d'un template Twig.
+     *
+     * Le corps texte brut est généré automatiquement depuis le HTML
+     * via strip_tags() pour les clients mail qui n'affichent pas le HTML.
+     *
+     * @param string               $to       Adresse email du destinataire
+     * @param string               $subject  Sujet de l'email
+     * @param string               $template Chemin du template Twig (ex: 'emails/password-reset.twig')
+     * @param array<string, mixed> $context  Variables transmises au template
+     *
+     * @throws \RuntimeException Si l'envoi échoue
+     * @return void
+     */
+    public function send(string $to, string $subject, string $template, array $context = []): void
+    {
+        $html = $this->twig->getEnvironment()->render($template, $context);
+        $mail = $this->createMailer();
+
+        $mail->addAddress($to);
+        $mail->Subject = $subject;
+        $mail->Body    = $html;
+        $mail->AltBody = strip_tags($html);
+
+        try {
+            $mail->send();
+        } catch (MailerException $e) {
+            throw new \RuntimeException("Échec de l'envoi de l'email : {$e->getMessage()}", 0, $e);
+        }
+    }
+
+    /**
+     * Crée et configure une instance PHPMailer prête à l'envoi.
+     *
+     * @return PHPMailer L'instance configurée avec les paramètres SMTP injectés
+     */
+    private function createMailer(): PHPMailer
+    {
+        $mail = new PHPMailer(true);
+
+        $mail->isSMTP();
+        $mail->Host       = $this->host;
+        $mail->SMTPAuth   = true;
+        $mail->Username   = $this->username;
+        $mail->Password   = $this->password;
+        $mail->SMTPSecure = $this->encryption === 'ssl'
+            ? PHPMailer::ENCRYPTION_SMTPS
+            : PHPMailer::ENCRYPTION_STARTTLS;
+        $mail->Port       = $this->port;
+        $mail->CharSet    = PHPMailer::CHARSET_UTF8;
+        $mail->setFrom($this->from, $this->fromName);
+
+        return $mail;
+    }
+}
diff --git a/src/Shared/Mail/MailServiceInterface.php b/src/Shared/Mail/MailServiceInterface.php
new file mode 100644
index 0000000..21e5e70
--- /dev/null
+++ b/src/Shared/Mail/MailServiceInterface.php
@@ -0,0 +1,26 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Mail;
+
+/**
+ * Contrat du service d'envoi d'emails.
+ *
+ * Permet de mocker l'envoi d'emails dans les tests unitaires
+ * sans dépendre de la classe concrète finale MailService.
+ */
+interface MailServiceInterface
+{
+    /**
+     * Envoie un email HTML à partir d'un template Twig.
+     *
+     * @param string               $to       Adresse email du destinataire
+     * @param string               $subject  Sujet de l'email
+     * @param string               $template Chemin du template Twig (ex: 'emails/password-reset.twig')
+     * @param array<string, mixed> $context  Variables transmises au template
+     *
+     * @throws \RuntimeException Si l'envoi échoue
+     * @return void
+     */
+    public function send(string $to, string $subject, string $template, array $context = []): void;
+}
diff --git a/src/Shared/Routes.php b/src/Shared/Routes.php
new file mode 100644
index 0000000..524c899
--- /dev/null
+++ b/src/Shared/Routes.php
@@ -0,0 +1,125 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared;
+
+use App\Auth\AccountController;
+use App\Auth\Middleware\AdminMiddleware;
+use App\Auth\AuthController;
+use App\Auth\Middleware\AuthMiddleware;
+use App\Auth\Middleware\EditorMiddleware;
+use App\Auth\PasswordResetController;
+use App\Category\CategoryController;
+use App\Media\MediaController;
+use App\Post\PostController;
+use App\Post\RssController;
+use App\User\UserController;
+use Slim\App;
+
+/**
+ * Déclaration de toutes les routes de l'application.
+ *
+ * Organisées en sept groupes :
+ *  - Routes publiques (accueil, détail article)
+ *  - Routes d'authentification (connexion, déconnexion)
+ *  - Routes de réinitialisation de mot de passe (publiques)
+ *  - Routes de compte utilisateur (changement de mot de passe)
+ *  - Routes d'administration articles et médias (tous les utilisateurs connectés)
+ *  - Routes d'administration catégories (éditeurs et administrateurs)
+ *  - Routes d'administration utilisateurs (administrateurs uniquement)
+ *
+ * Les handlers utilisent la notation [ClassName::class, 'method'].
+ * Slim les résout paresseusement depuis le conteneur PHP-DI au moment où
+ * la route est matchée — aucun contrôleur n'est instancié au démarrage.
+ */
+final class Routes
+{
+    /**
+     * Enregistre toutes les routes dans l'application Slim.
+     *
+     * @param \Slim\App<\Psr\Container\ContainerInterface> $app L'instance Slim (conteneur PHP-DI enregistré via AppFactory::createFromContainer)
+     * @return void
+     */
+    public static function register(App $app): void
+    {
+        // ------------------------------------------------------------
+        // Routes publiques
+        // ------------------------------------------------------------
+
+        $app->get('/', [PostController::class, 'index']);
+        $app->get('/article/{slug}', [PostController::class, 'show']);
+        $app->get('/rss.xml', [RssController::class, 'feed']);
+
+        // ------------------------------------------------------------
+        // Routes d'authentification
+        // ------------------------------------------------------------
+
+        $app->get('/auth/login', [AuthController::class, 'showLogin']);
+        $app->post('/auth/login', [AuthController::class, 'login']);
+        $app->post('/auth/logout', [AuthController::class, 'logout']);
+
+        // ------------------------------------------------------------
+        // Routes de réinitialisation de mot de passe (publiques)
+        // ------------------------------------------------------------
+
+        $app->get('/password/forgot', [PasswordResetController::class, 'showForgot']);
+        $app->post('/password/forgot', [PasswordResetController::class, 'forgot']);
+        $app->get('/password/reset', [PasswordResetController::class, 'showReset']);
+        $app->post('/password/reset', [PasswordResetController::class, 'reset']);
+
+        // ------------------------------------------------------------
+        // Routes de compte (utilisateur connecté)
+        // ------------------------------------------------------------
+
+        $app->group('/account', function ($group) {
+            $group->get('/password', [AccountController::class, 'showChangePassword']);
+            $group->post('/password', [AccountController::class, 'changePassword']);
+        })->add(AuthMiddleware::class);
+
+        // ------------------------------------------------------------
+        // Routes d'administration posts et médias (tout utilisateur connecté)
+        // ------------------------------------------------------------
+
+        $app->group('/admin', function ($group) {
+            $group->get('', fn ($req, $res) => $res->withHeader('Location', '/admin/posts')->withStatus(302));
+
+            // Posts
+            $group->get('/posts', [PostController::class, 'admin']);
+            $group->get('/posts/edit/{id}', [PostController::class, 'form']);
+            $group->post('/posts/create', [PostController::class, 'create']);
+            $group->post('/posts/edit/{id}', [PostController::class, 'update']);
+            $group->post('/posts/delete/{id}', [PostController::class, 'delete']);
+
+            // Médias — upload Trumbowyg (réponse JSON)
+            // Attend un champ "image" en multipart/form-data
+            // Retourne {"success": true, "file": "/media/..."} ou {"error": "..."}
+            $group->post('/media/upload', [MediaController::class, 'upload']);
+
+            // Médias — gestion (liste + suppression)
+            $group->get('/media', [MediaController::class, 'index']);
+            $group->post('/media/delete/{id}', [MediaController::class, 'delete']);
+        })->add(AuthMiddleware::class);
+
+        // ------------------------------------------------------------
+        // Routes d'administration catégories (éditeurs et admins)
+        // ------------------------------------------------------------
+
+        $app->group('/admin/categories', function ($group) {
+            $group->get('', [CategoryController::class, 'index']);
+            $group->post('/create', [CategoryController::class, 'create']);
+            $group->post('/delete/{id}', [CategoryController::class, 'delete']);
+        })->add(EditorMiddleware::class)->add(AuthMiddleware::class);
+
+        // ------------------------------------------------------------
+        // Routes d'administration utilisateurs (admin uniquement)
+        // ------------------------------------------------------------
+
+        $app->group('/admin/users', function ($group) {
+            $group->get('', [UserController::class, 'index']);
+            $group->get('/create', [UserController::class, 'showCreate']);
+            $group->post('/create', [UserController::class, 'create']);
+            $group->post('/role/{id}', [UserController::class, 'updateRole']);
+            $group->post('/delete/{id}', [UserController::class, 'delete']);
+        })->add(AdminMiddleware::class)->add(AuthMiddleware::class);
+    }
+}
diff --git a/src/Shared/Util/DateParser.php b/src/Shared/Util/DateParser.php
new file mode 100644
index 0000000..8ae77bb
--- /dev/null
+++ b/src/Shared/Util/DateParser.php
@@ -0,0 +1,37 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Util;
+
+use DateTime;
+
+/**
+ * Utilitaire de conversion de dates issues de la base de données.
+ *
+ * Centralise la logique partagée par les modèles Post, User et Media
+ * pour convertir une valeur brute en DateTime de façon silencieuse :
+ * une valeur absente ou malformée retourne null plutôt que de propager
+ * une exception non gérée qui ferait crasher la page entière.
+ */
+final class DateParser
+{
+    /**
+     * Convertit une valeur de date issue de la base de données en DateTime.
+     *
+     * @param mixed $value Valeur brute issue de la base de données
+     *
+     * @return DateTime|null L'instance DateTime, ou null si la valeur est absente ou invalide
+     */
+    public static function parse(mixed $value): ?DateTime
+    {
+        if ($value === null || $value === '') {
+            return null;
+        }
+
+        try {
+            return new DateTime((string) $value);
+        } catch (\Exception) {
+            return null;
+        }
+    }
+}
diff --git a/src/Shared/Util/SlugHelper.php b/src/Shared/Util/SlugHelper.php
new file mode 100644
index 0000000..97642dd
--- /dev/null
+++ b/src/Shared/Util/SlugHelper.php
@@ -0,0 +1,47 @@
+<?php
+declare(strict_types=1);
+
+namespace App\Shared\Util;
+
+/**
+ * Utilitaire de génération de slug URL-friendly.
+ *
+ * Centralise la logique de translittération partagée par les domaines
+ * Post et Category pour éviter la duplication de code.
+ *
+ * Algorithme :
+ *  1. Translittération ASCII//TRANSLIT//IGNORE — convertit les caractères
+ *     accentués en leur équivalent ASCII avant le nettoyage :
+ *       "Été en forêt" → "ete-en-foret"
+ *       "Ça & Là !"    → "ca-la"
+ *     Le flag IGNORE supprime silencieusement les caractères sans équivalent
+ *     ASCII (CJK, etc.) plutôt que de laisser iconv retourner false.
+ *  2. Passage en minuscules
+ *  3. Remplacement de toute séquence de caractères non alphanumériques par un tiret
+ *  4. Suppression des tirets en début et fin
+ */
+final class SlugHelper
+{
+    /**
+     * Génère un slug URL-friendly depuis une chaîne quelconque.
+     *
+     * @param string $input La chaîne source (titre, nom, etc.)
+     *
+     * @return string Le slug en minuscules avec tirets (ex: "ete-en-foret"),
+     *               ou '' si la chaîne ne contient aucun caractère exploitable
+     */
+    public static function generate(string $input): string
+    {
+        $slug = iconv('UTF-8', 'ASCII//TRANSLIT//IGNORE', $input);
+
+        // iconv peut retourner false sur certaines plateformes — repli sur l'entrée brute
+        if ($slug === false) {
+            $slug = $input;
+        }
+
+        $slug = mb_strtolower($slug);
+        $slug = preg_replace('/[^a-z0-9]+/', '-', $slug) ?? '';
+
+        return trim($slug, '-');
+    }
+}
diff --git a/src/User/Exception/DuplicateEmailException.php b/src/User/Exception/DuplicateEmailException.php
new file mode 100644
index 0000000..c37c55a
--- /dev/null
+++ b/src/User/Exception/DuplicateEmailException.php
@@ -0,0 +1,18 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User\Exception;
+
+/**
+ * Exception levée lorsqu'une adresse e-mail est déjà utilisée.
+ *
+ * Permet aux appelants de distinguer cette erreur métier précise
+ * d'une InvalidArgumentException générique sans analyser le message.
+ */
+final class DuplicateEmailException extends \InvalidArgumentException
+{
+    public function __construct(string $email)
+    {
+        parent::__construct("Cette adresse e-mail est déjà utilisée : {$email}");
+    }
+}
diff --git a/src/User/Exception/DuplicateUsernameException.php b/src/User/Exception/DuplicateUsernameException.php
new file mode 100644
index 0000000..0ea6946
--- /dev/null
+++ b/src/User/Exception/DuplicateUsernameException.php
@@ -0,0 +1,18 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User\Exception;
+
+/**
+ * Exception levée lorsqu'un nom d'utilisateur est déjà pris.
+ *
+ * Permet aux appelants de distinguer cette erreur métier précise
+ * d'une InvalidArgumentException générique sans analyser le message.
+ */
+final class DuplicateUsernameException extends \InvalidArgumentException
+{
+    public function __construct(string $username)
+    {
+        parent::__construct("Ce nom d'utilisateur est déjà pris : {$username}");
+    }
+}
diff --git a/src/User/Exception/InvalidRoleException.php b/src/User/Exception/InvalidRoleException.php
new file mode 100644
index 0000000..af4d348
--- /dev/null
+++ b/src/User/Exception/InvalidRoleException.php
@@ -0,0 +1,21 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User\Exception;
+
+use App\User\User;
+
+/**
+ * Exception levée lorsqu'un rôle utilisateur non autorisé est demandé.
+ */
+final class InvalidRoleException extends \InvalidArgumentException
+{
+    public function __construct(string $role)
+    {
+        $validRoles = [User::ROLE_USER, User::ROLE_EDITOR, User::ROLE_ADMIN];
+
+        parent::__construct(
+            "Le rôle '{$role}' est invalide. Valeurs autorisées : " . implode(', ', $validRoles)
+        );
+    }
+}
diff --git a/src/User/Exception/WeakPasswordException.php b/src/User/Exception/WeakPasswordException.php
new file mode 100644
index 0000000..9c12e3b
--- /dev/null
+++ b/src/User/Exception/WeakPasswordException.php
@@ -0,0 +1,21 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User\Exception;
+
+/**
+ * Exception levée lorsqu'un mot de passe ne respecte pas les règles de complexité.
+ *
+ * Permet aux appelants de distinguer cette erreur métier précise
+ * d'une InvalidArgumentException générique sans analyser le message.
+ */
+final class WeakPasswordException extends \InvalidArgumentException
+{
+    /**
+     * @param int $minLength Longueur minimale requise
+     */
+    public function __construct(int $minLength = 8)
+    {
+        parent::__construct("Le mot de passe doit contenir au moins {$minLength} caractères");
+    }
+}
diff --git a/src/User/User.php b/src/User/User.php
new file mode 100644
index 0000000..4350fb5
--- /dev/null
+++ b/src/User/User.php
@@ -0,0 +1,191 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User;
+
+use App\Shared\Util\DateParser;
+use DateTime;
+
+/**
+ * Modèle représentant un utilisateur de l'application.
+ *
+ * Encapsule les données et la validation d'un compte utilisateur.
+ * Ce modèle est immuable : toutes les propriétés sont en lecture seule
+ * après construction.
+ */
+final class User
+{
+    /**
+     * @var DateTime Date de création — toujours non nulle après construction
+     *               (le constructeur accepte ?DateTime mais affecte `new DateTime()` si null)
+     */
+    private readonly DateTime $createdAt;
+
+    /**
+     * Rôles valides pour un utilisateur.
+     */
+    public const ROLE_USER   = 'user';
+    public const ROLE_EDITOR = 'editor';
+    public const ROLE_ADMIN  = 'admin';
+
+    /**
+     * @param int           $id           Identifiant en base (0 pour un nouvel utilisateur)
+     * @param string        $username     Nom d'utilisateur (normalisé en minuscules)
+     * @param string        $email        Adresse e-mail (normalisée en minuscules)
+     * @param string        $passwordHash Hash bcrypt du mot de passe
+     * @param string        $role         Rôle de l'utilisateur : 'user', 'editor' ou 'admin'
+     * @param DateTime|null $createdAt    Date de création (défaut : maintenant)
+     *
+     * @throws \InvalidArgumentException Si les données ne passent pas la validation
+     */
+    public function __construct(
+        private readonly int $id,
+        private readonly string $username,
+        private readonly string $email,
+        private readonly string $passwordHash,
+        private readonly string $role = self::ROLE_USER,
+        ?DateTime $createdAt = null,
+    ) {
+        $this->createdAt = $createdAt ?? new DateTime();
+        $this->validate();
+    }
+
+    /**
+     * Crée une instance depuis un tableau associatif (ligne de base de données).
+     *
+     * @param array<string, mixed> $data Données issues de la base de données
+     *
+     * @return self L'instance hydratée
+     */
+    public static function fromArray(array $data): self
+    {
+        return new self(
+            id:           (int) ($data['id'] ?? 0),
+            username:     (string) ($data['username'] ?? ''),
+            email:        (string) ($data['email'] ?? ''),
+            passwordHash: (string) ($data['password_hash'] ?? ''),
+            role:         (string) ($data['role'] ?? self::ROLE_USER),
+            createdAt:    DateParser::parse($data['created_at'] ?? null),
+        );
+    }
+
+    /**
+     * Retourne l'identifiant de l'utilisateur.
+     *
+     * @return int L'identifiant en base (0 si non encore persisté)
+     */
+    public function getId(): int
+    {
+        return $this->id;
+    }
+
+    /**
+     * Retourne le nom d'utilisateur.
+     *
+     * @return string Le nom d'utilisateur normalisé en minuscules
+     */
+    public function getUsername(): string
+    {
+        return $this->username;
+    }
+
+    /**
+     * Retourne l'adresse e-mail.
+     *
+     * @return string L'adresse e-mail normalisée en minuscules
+     */
+    public function getEmail(): string
+    {
+        return $this->email;
+    }
+
+    /**
+     * Retourne le hash bcrypt du mot de passe.
+     *
+     * @return string Le hash bcrypt
+     */
+    public function getPasswordHash(): string
+    {
+        return $this->passwordHash;
+    }
+
+    /**
+     * Retourne le rôle de l'utilisateur.
+     *
+     * @return string 'user', 'editor' ou 'admin'
+     */
+    public function getRole(): string
+    {
+        return $this->role;
+    }
+
+    /**
+     * Indique si l'utilisateur a le rôle administrateur.
+     *
+     * @return bool True si l'utilisateur est administrateur
+     */
+    public function isAdmin(): bool
+    {
+        return $this->role === self::ROLE_ADMIN;
+    }
+
+    /**
+     * Indique si l'utilisateur a le rôle éditeur.
+     *
+     * @return bool True si l'utilisateur est éditeur
+     */
+    public function isEditor(): bool
+    {
+        return $this->role === self::ROLE_EDITOR;
+    }
+
+    /**
+     * Retourne la date de création du compte.
+     *
+     * @return DateTime La date de création
+     */
+    public function getCreatedAt(): DateTime
+    {
+        return $this->createdAt;
+    }
+
+    /**
+     * Valide les données de l'utilisateur.
+     *
+     * @throws \InvalidArgumentException Si le nom d'utilisateur fait moins de 3 ou plus de 50 caractères
+     * @throws \InvalidArgumentException Si l'adresse e-mail est invalide ou vide
+     * @throws \InvalidArgumentException Si le hash du mot de passe est vide
+     * @throws \InvalidArgumentException Si le rôle n'est pas une valeur autorisée
+     */
+    private function validate(): void
+    {
+        if (mb_strlen($this->username) < 3) {
+            throw new \InvalidArgumentException(
+                "Le nom d'utilisateur doit contenir au moins 3 caractères"
+            );
+        }
+
+        if (mb_strlen($this->username) > 50) {
+            throw new \InvalidArgumentException(
+                "Le nom d'utilisateur ne peut pas dépasser 50 caractères"
+            );
+        }
+
+        if (!filter_var($this->email, FILTER_VALIDATE_EMAIL)) {
+            throw new \InvalidArgumentException("L'email n'est pas valide");
+        }
+
+        if ($this->passwordHash === '') {
+            throw new \InvalidArgumentException(
+                'Le hash du mot de passe ne peut pas être vide'
+            );
+        }
+
+        $validRoles = [self::ROLE_USER, self::ROLE_EDITOR, self::ROLE_ADMIN];
+        if (!in_array($this->role, $validRoles, true)) {
+            throw new \InvalidArgumentException(
+                "Le rôle '{$this->role}' est invalide. Valeurs autorisées : " . implode(', ', $validRoles)
+            );
+        }
+    }
+}
diff --git a/src/User/UserController.php b/src/User/UserController.php
new file mode 100644
index 0000000..58f5e18
--- /dev/null
+++ b/src/User/UserController.php
@@ -0,0 +1,234 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User;
+
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\Exception\DuplicateEmailException;
+use App\User\Exception\DuplicateUsernameException;
+use App\User\Exception\InvalidRoleException;
+use App\User\Exception\WeakPasswordException;
+use Psr\Http\Message\ResponseInterface as Response;
+use Psr\Http\Message\ServerRequestInterface as Request;
+use Slim\Views\Twig;
+
+/**
+ * Contrôleur pour la gestion des utilisateurs en administration.
+ *
+ * Accessible uniquement aux administrateurs (AdminMiddleware).
+ * Gère la liste, la création, la modification de rôle et la suppression des comptes.
+ * Toute la logique de persistance est déléguée à UserService.
+ *
+ * Règles de protection communes :
+ *  - Le compte administrateur (role = 'admin') ne peut pas être supprimé ni rétrogradé
+ *  - Un administrateur ne peut pas supprimer son propre compte ni changer son propre rôle
+ */
+final class UserController
+{
+    /**
+     * @param Twig                    $view           Moteur de templates Twig
+     * @param UserServiceInterface    $userService    Service de gestion des utilisateurs
+     * @param FlashServiceInterface   $flash          Service de messages flash
+     * @param SessionManagerInterface $sessionManager Gestionnaire de session
+     */
+    public function __construct(
+        private readonly Twig $view,
+        private readonly UserServiceInterface $userService,
+        private readonly FlashServiceInterface $flash,
+        private readonly SessionManagerInterface $sessionManager,
+    ) {
+    }
+
+    /**
+     * Affiche la liste de tous les utilisateurs.
+     *
+     * Passe l'identifiant de l'utilisateur courant à la vue
+     * pour conditionner l'affichage du bouton de suppression.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue admin/users/index.twig
+     */
+    public function index(Request $req, Response $res): Response
+    {
+        return $this->view->render($res, 'admin/users/index.twig', [
+            'users'         => $this->userService->findAll(),
+            'currentUserId' => $this->sessionManager->getUserId(),
+            'error'         => $this->flash->get('user_error'),
+            'success'       => $this->flash->get('user_success'),
+        ]);
+    }
+
+    /**
+     * Affiche le formulaire de création d'un utilisateur.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response La vue admin/users/form.twig
+     */
+    public function showCreate(Request $req, Response $res): Response
+    {
+        return $this->view->render($res, 'admin/users/form.twig', [
+            'error' => $this->flash->get('user_error'),
+        ]);
+    }
+
+    /**
+     * Traite la soumission du formulaire de création d'utilisateur.
+     *
+     * Vérifie que les mots de passe correspondent avant de déléguer
+     * la création à UserService. En cas d'erreur, redirige vers le
+     * formulaire avec un message flash.
+     *
+     * @param Request  $req La requête HTTP
+     * @param Response $res La réponse HTTP
+     *
+     * @return Response Redirection vers /admin/users en cas de succès,
+     *                  ou vers /admin/users/create en cas d'erreur
+     */
+    public function create(Request $req, Response $res): Response
+    {
+        /** @var array<string, mixed> $data */
+        $data = (array) $req->getParsedBody();
+        $username = trim((string) ($data['username'] ?? ''));
+        $email    = trim((string) ($data['email'] ?? ''));
+        $password = trim((string) ($data['password'] ?? ''));
+        $confirm  = trim((string) ($data['password_confirm'] ?? ''));
+
+        // Restreindre les rôles assignables depuis le formulaire.
+        // Le rôle 'admin' est exclu : il ne peut être attribué que directement
+        // en base de données, pour éviter qu'un admin ne crée d'autres admins
+        // en manipulant la requête HTTP.
+        $allowedRoles = [User::ROLE_USER, User::ROLE_EDITOR];
+        $rawRole      = trim((string) ($data['role'] ?? ''));
+        $role         = in_array($rawRole, $allowedRoles, true)
+            ? $rawRole
+            : User::ROLE_USER;
+
+        if ($password !== $confirm) {
+            $this->flash->set('user_error', 'Les mots de passe ne correspondent pas');
+
+            return $res->withHeader('Location', '/admin/users/create')->withStatus(302);
+        }
+
+        try {
+            $this->userService->createUser($username, $email, $password, $role);
+            $this->flash->set('user_success', "L'utilisateur « {$username} » a été créé avec succès");
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        } catch (DuplicateUsernameException) {
+            $this->flash->set('user_error', "Ce nom d'utilisateur est déjà pris");
+        } catch (DuplicateEmailException) {
+            $this->flash->set('user_error', 'Cette adresse e-mail est déjà utilisée');
+        } catch (WeakPasswordException) {
+            $this->flash->set('user_error', 'Le mot de passe doit contenir au moins 8 caractères');
+        } catch (InvalidRoleException $e) {
+            $this->flash->set('user_error', $e->getMessage());
+        } catch (\Throwable) {
+            $this->flash->set('user_error', "Une erreur inattendue s'est produite");
+        }
+
+        return $res->withHeader('Location', '/admin/users/create')->withStatus(302);
+    }
+
+    /**
+     * Met à jour le rôle d'un utilisateur.
+     *
+     * La modification est refusée dans trois cas :
+     *  - l'utilisateur cible est introuvable
+     *  - l'administrateur connecté tente de modifier son propre rôle
+     *  - l'utilisateur cible est déjà administrateur
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Les paramètres de route (id)
+     *
+     * @return Response Redirection vers /admin/users dans tous les cas
+     */
+    public function updateRole(Request $req, Response $res, array $args): Response
+    {
+        $id   = (int) $args['id'];
+        $user = $this->userService->findById($id);
+
+        if ($user === null) {
+            $this->flash->set('user_error', 'Utilisateur introuvable');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        if ($id === $this->sessionManager->getUserId()) {
+            $this->flash->set('user_error', 'Vous ne pouvez pas modifier votre propre rôle');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        if ($user->isAdmin()) {
+            $this->flash->set('user_error', 'Le rôle d\'un administrateur ne peut pas être modifié');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        $allowedRoles = [User::ROLE_USER, User::ROLE_EDITOR, User::ROLE_ADMIN];
+        /** @var array<string, mixed> $body */
+        $body         = (array) $req->getParsedBody();
+        $rawRole      = trim((string) ($body['role'] ?? ''));
+        $role         = in_array($rawRole, $allowedRoles, true) ? $rawRole : null;
+
+        if ($role === null) {
+            $this->flash->set('user_error', 'Rôle invalide');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        $this->userService->updateRole($id, $role);
+        $this->flash->set('user_success', "Le rôle de « {$user->getUsername()} » a été mis à jour");
+
+        return $res->withHeader('Location', '/admin/users')->withStatus(302);
+    }
+
+    /**
+     * Supprime un utilisateur.
+     *
+     * La suppression est refusée dans trois cas :
+     *  - l'utilisateur cible est introuvable
+     *  - l'utilisateur cible est administrateur (role = 'admin')
+     *  - l'administrateur connecté tente de supprimer son propre compte
+     *
+     * @param Request  $req  La requête HTTP
+     * @param Response $res  La réponse HTTP
+     * @param array<string, string> $args Les paramètres de route (id)
+     *
+     * @return Response Redirection vers /admin/users dans tous les cas
+     */
+    public function delete(Request $req, Response $res, array $args): Response
+    {
+        $id   = (int) $args['id'];
+        $user = $this->userService->findById($id);
+
+        if ($user === null) {
+            $this->flash->set('user_error', 'Utilisateur introuvable');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        if ($user->isAdmin()) {
+            $this->flash->set('user_error', 'Le compte administrateur ne peut pas être supprimé');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        if ($id === $this->sessionManager->getUserId()) {
+            $this->flash->set('user_error', 'Vous ne pouvez pas supprimer votre propre compte');
+
+            return $res->withHeader('Location', '/admin/users')->withStatus(302);
+        }
+
+        $this->userService->delete($id);
+        $this->flash->set('user_success', "L'utilisateur « {$user->getUsername()} » a été supprimé avec succès");
+
+        return $res->withHeader('Location', '/admin/users')->withStatus(302);
+    }
+}
diff --git a/src/User/UserRepository.php b/src/User/UserRepository.php
new file mode 100644
index 0000000..471cf5f
--- /dev/null
+++ b/src/User/UserRepository.php
@@ -0,0 +1,150 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User;
+
+use PDO;
+
+/**
+ * Dépôt pour la persistance des utilisateurs.
+ *
+ * Responsabilité unique : exécuter les requêtes SQL liées à la table `users`
+ * et retourner des instances de User hydratées.
+ */
+final class UserRepository implements UserRepositoryInterface
+{
+    /**
+     * @param PDO $db Instance de connexion à la base de données
+     */
+    public function __construct(private readonly PDO $db)
+    {
+    }
+
+    /**
+     * Retourne tous les utilisateurs triés par date de création.
+     *
+     * @return User[] La liste des utilisateurs
+     */
+    public function findAll(): array
+    {
+        $stmt = $this->db->query('SELECT * FROM users ORDER BY created_at ASC');
+        if ($stmt === false) {
+            throw new \RuntimeException('La requête SELECT sur users a échoué.');
+        }
+        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
+
+        return array_map(fn ($row) => User::fromArray($row), $rows);
+    }
+
+    /**
+     * Trouve un utilisateur par son identifiant.
+     *
+     * @param int $id Identifiant de l'utilisateur
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?User
+    {
+        $stmt = $this->db->prepare('SELECT * FROM users WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? User::fromArray($row) : null;
+    }
+
+    /**
+     * Trouve un utilisateur par son nom d'utilisateur (insensible à la casse).
+     *
+     * @param string $username Nom d'utilisateur normalisé en minuscules
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findByUsername(string $username): ?User
+    {
+        $stmt = $this->db->prepare('SELECT * FROM users WHERE username = :username');
+        $stmt->execute([':username' => $username]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? User::fromArray($row) : null;
+    }
+
+    /**
+     * Trouve un utilisateur par son adresse e-mail (insensible à la casse).
+     *
+     * @param string $email Adresse e-mail normalisée en minuscules
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findByEmail(string $email): ?User
+    {
+        $stmt = $this->db->prepare('SELECT * FROM users WHERE email = :email');
+        $stmt->execute([':email' => $email]);
+
+        $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+        return $row ? User::fromArray($row) : null;
+    }
+
+    /**
+     * Persiste un nouvel utilisateur en base de données.
+     *
+     * @param User $user L'utilisateur à créer
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(User $user): int
+    {
+        $stmt = $this->db->prepare('
+            INSERT INTO users (username, email, password_hash, role, created_at)
+            VALUES (:username, :email, :password_hash, :role, :created_at)
+        ');
+
+        $stmt->execute([
+            ':username'      => $user->getUsername(),
+            ':email'         => $user->getEmail(),
+            ':password_hash' => $user->getPasswordHash(),
+            ':role'          => $user->getRole(),
+            ':created_at'    => date('Y-m-d H:i:s'),
+        ]);
+
+        return (int) $this->db->lastInsertId();
+    }
+
+    /**
+     * Met à jour le hash du mot de passe d'un utilisateur.
+     *
+     * @param int    $id      Identifiant de l'utilisateur
+     * @param string $newHash Nouveau hash bcrypt
+     */
+    public function updatePassword(int $id, string $newHash): void
+    {
+        $stmt = $this->db->prepare('UPDATE users SET password_hash = :password_hash WHERE id = :id');
+        $stmt->execute([':password_hash' => $newHash, ':id' => $id]);
+    }
+
+    /**
+     * Met à jour le rôle d'un utilisateur.
+     *
+     * @param int    $id   Identifiant de l'utilisateur
+     * @param string $role Nouveau rôle : 'user', 'editor' ou 'admin'
+     */
+    public function updateRole(int $id, string $role): void
+    {
+        $stmt = $this->db->prepare('UPDATE users SET role = :role WHERE id = :id');
+        $stmt->execute([':role' => $role, ':id' => $id]);
+    }
+
+    /**
+     * Supprime un utilisateur de la base de données.
+     *
+     * @param int $id Identifiant de l'utilisateur à supprimer
+     * @return void
+     */
+    public function delete(int $id): void
+    {
+        $stmt = $this->db->prepare('DELETE FROM users WHERE id = :id');
+        $stmt->execute([':id' => $id]);
+    }
+}
diff --git a/src/User/UserRepositoryInterface.php b/src/User/UserRepositoryInterface.php
new file mode 100644
index 0000000..a7fe14f
--- /dev/null
+++ b/src/User/UserRepositoryInterface.php
@@ -0,0 +1,80 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User;
+
+/**
+ * Contrat de persistance des utilisateurs.
+ *
+ * Découple les services métier de l'implémentation concrète (PDO/SQLite),
+ * facilitant les mocks dans les tests et un éventuel changement de stockage.
+ */
+interface UserRepositoryInterface
+{
+    /**
+     * Retourne tous les utilisateurs triés par date de création.
+     *
+     * @return User[]
+     */
+    public function findAll(): array;
+
+    /**
+     * Trouve un utilisateur par son identifiant.
+     *
+     * @param int $id Identifiant de l'utilisateur
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?User;
+
+    /**
+     * Trouve un utilisateur par son nom d'utilisateur.
+     *
+     * @param string $username Nom d'utilisateur normalisé en minuscules
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findByUsername(string $username): ?User;
+
+    /**
+     * Trouve un utilisateur par son adresse e-mail.
+     *
+     * @param string $email Adresse e-mail normalisée en minuscules
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findByEmail(string $email): ?User;
+
+    /**
+     * Persiste un nouvel utilisateur en base de données.
+     *
+     * @param User $user L'utilisateur à créer
+     *
+     * @return int L'identifiant généré par la base de données
+     */
+    public function create(User $user): int;
+
+    /**
+     * Met à jour le hash du mot de passe d'un utilisateur.
+     *
+     * @param int    $id      Identifiant de l'utilisateur
+     * @param string $newHash Nouveau hash bcrypt
+     */
+    public function updatePassword(int $id, string $newHash): void;
+
+    /**
+     * Met à jour le rôle d'un utilisateur.
+     *
+     * @param int    $id   Identifiant de l'utilisateur
+     * @param string $role Nouveau rôle : 'user', 'editor' ou 'admin'
+     */
+    public function updateRole(int $id, string $role): void;
+
+    /**
+     * Supprime un utilisateur de la base de données.
+     *
+     * @param int $id Identifiant de l'utilisateur à supprimer
+     * @return void
+     */
+    public function delete(int $id): void;
+}
diff --git a/src/User/UserService.php b/src/User/UserService.php
new file mode 100644
index 0000000..f4ad351
--- /dev/null
+++ b/src/User/UserService.php
@@ -0,0 +1,89 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User;
+
+use App\Shared\Exception\NotFoundException;
+use App\User\Exception\DuplicateEmailException;
+use App\User\Exception\DuplicateUsernameException;
+use App\User\Exception\InvalidRoleException;
+use App\User\Exception\WeakPasswordException;
+
+final class UserService implements UserServiceInterface
+{
+    public function __construct(
+        private readonly UserRepositoryInterface $userRepository,
+    ) {
+    }
+
+    public function findAll(): array
+    {
+        return $this->userRepository->findAll();
+    }
+
+    public function findById(int $id): ?User
+    {
+        return $this->userRepository->findById($id);
+    }
+
+    public function delete(int $id): void
+    {
+        $this->requireExistingUser($id);
+        $this->userRepository->delete($id);
+    }
+
+    public function updateRole(int $id, string $role): void
+    {
+        $this->assertValidRole($role);
+        $this->requireExistingUser($id);
+        $this->userRepository->updateRole($id, $role);
+    }
+
+    public function createUser(string $username, string $email, string $plainPassword, string $role = User::ROLE_USER): User
+    {
+        $username      = mb_strtolower(trim($username));
+        $email         = mb_strtolower(trim($email));
+        $plainPassword = trim($plainPassword);
+
+        $this->assertValidRole($role);
+
+        if ($this->userRepository->findByUsername($username)) {
+            throw new DuplicateUsernameException($username);
+        }
+
+        if ($this->userRepository->findByEmail($email)) {
+            throw new DuplicateEmailException($email);
+        }
+
+        if (mb_strlen($plainPassword) < 8) {
+            throw new WeakPasswordException();
+        }
+
+        $passwordHash = password_hash($plainPassword, PASSWORD_BCRYPT, ['cost' => 12]);
+        $user         = new User(0, $username, $email, $passwordHash, $role);
+
+        $this->userRepository->create($user);
+
+        return $user;
+    }
+
+    private function assertValidRole(string $role): void
+    {
+        $validRoles = [User::ROLE_USER, User::ROLE_EDITOR, User::ROLE_ADMIN];
+
+        if (!in_array($role, $validRoles, true)) {
+            throw new InvalidRoleException($role);
+        }
+    }
+
+    private function requireExistingUser(int $id): User
+    {
+        $user = $this->userRepository->findById($id);
+
+        if ($user === null) {
+            throw new NotFoundException('Utilisateur', $id);
+        }
+
+        return $user;
+    }
+}
diff --git a/src/User/UserServiceInterface.php b/src/User/UserServiceInterface.php
new file mode 100644
index 0000000..846b168
--- /dev/null
+++ b/src/User/UserServiceInterface.php
@@ -0,0 +1,69 @@
+<?php
+declare(strict_types=1);
+
+namespace App\User;
+
+use App\User\Exception\DuplicateEmailException;
+use App\User\Exception\DuplicateUsernameException;
+use App\User\Exception\InvalidRoleException;
+use App\User\Exception\WeakPasswordException;
+
+/**
+ * Contrat du service de gestion des utilisateurs.
+ *
+ * Permet de mocker le service dans les tests unitaires sans dépendre
+ * de la classe concrète finale UserService.
+ */
+interface UserServiceInterface
+{
+    /**
+     * Retourne tous les utilisateurs triés par date de création (ordre croissant).
+     *
+     * @return User[]
+     */
+    public function findAll(): array;
+
+    /**
+     * Trouve un utilisateur par son identifiant.
+     *
+     * @param int $id Identifiant de l'utilisateur
+     *
+     * @return User|null L'utilisateur trouvé, ou null s'il n'existe pas
+     */
+    public function findById(int $id): ?User;
+
+    /**
+     * Supprime un utilisateur de la base de données.
+     *
+     * @param int $id Identifiant de l'utilisateur à supprimer
+     */
+    public function delete(int $id): void;
+
+    /**
+     * Crée un nouveau compte utilisateur.
+     *
+     * @param string $username      Nom d'utilisateur souhaité (min. 3 caractères)
+     * @param string $email         Adresse e-mail valide
+     * @param string $plainPassword Mot de passe en clair (min. 8 caractères)
+     * @param string $role          Rôle attribué : 'user', 'editor' ou 'admin' (défaut : 'user')
+     *
+     * @return User L'utilisateur créé (sans mot de passe en clair)
+     *
+     * @throws DuplicateUsernameException Si le nom d'utilisateur est déjà pris
+     * @throws DuplicateEmailException    Si l'adresse e-mail est déjà utilisée
+     * @throws WeakPasswordException      Si le mot de passe est trop court
+     * @throws InvalidRoleException         Si le rôle est invalide
+     * @throws \InvalidArgumentException  Si le nom ou l'email ne passent pas la validation
+     */
+    public function createUser(string $username, string $email, string $plainPassword, string $role = User::ROLE_USER): User;
+
+    /**
+     * Met à jour le rôle d'un utilisateur.
+     *
+     * @param int    $id   Identifiant de l'utilisateur
+     * @param string $role Nouveau rôle : 'user', 'editor' ou 'admin'
+     *
+     * @throws InvalidRoleException Si le rôle est invalide
+     */
+    public function updateRole(int $id, string $role): void;
+}
diff --git a/tests/Auth/AccountControllerTest.php b/tests/Auth/AccountControllerTest.php
new file mode 100644
index 0000000..2171de0
--- /dev/null
+++ b/tests/Auth/AccountControllerTest.php
@@ -0,0 +1,207 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\AccountController;
+use App\Auth\AuthServiceInterface;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\Exception\WeakPasswordException;
+use PHPUnit\Framework\MockObject\MockObject;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour AccountController.
+ *
+ * Couvre showChangePassword() et changePassword() :
+ * mots de passe non identiques, mot de passe faible, mot de passe actuel
+ * incorrect, erreur inattendue et succès.
+ */
+final class AccountControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var AuthServiceInterface&MockObject */
+    private AuthServiceInterface $authService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    private AccountController $controller;
+
+    protected function setUp(): void
+    {
+        $this->view           = $this->makeTwigMock();
+        $this->authService    = $this->createMock(AuthServiceInterface::class);
+        $this->flash          = $this->createMock(FlashServiceInterface::class);
+        $this->sessionManager = $this->createMock(SessionManagerInterface::class);
+
+        $this->controller = new AccountController(
+            $this->view,
+            $this->authService,
+            $this->flash,
+            $this->sessionManager,
+        );
+    }
+
+    // ── showChangePassword ───────────────────────────────────────────
+
+    /**
+     * showChangePassword() doit rendre le formulaire de changement de mot de passe.
+     */
+    public function testShowChangePasswordRendersForm(): void
+    {
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'pages/account/password-change.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->showChangePassword($this->makeGet('/account/password'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── changePassword ───────────────────────────────────────────────
+
+    /**
+     * changePassword() doit rediriger avec une erreur si les mots de passe ne correspondent pas.
+     */
+    public function testChangePasswordRedirectsWhenPasswordMismatch(): void
+    {
+        $this->flash->expects($this->once())->method('set')
+            ->with('password_error', 'Les mots de passe ne correspondent pas');
+
+        $req = $this->makePost('/account/password', [
+            'current_password'  => 'oldpass',
+            'new_password'      => 'newpass1',
+            'new_password_confirm' => 'newpass2',
+        ]);
+        $res = $this->controller->changePassword($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/account/password');
+    }
+
+    /**
+     * changePassword() ne doit pas appeler authService si les mots de passe ne correspondent pas.
+     */
+    public function testChangePasswordDoesNotCallServiceOnMismatch(): void
+    {
+        $this->authService->expects($this->never())->method('changePassword');
+
+        $req = $this->makePost('/account/password', [
+            'current_password'     => 'old',
+            'new_password'         => 'aaa',
+            'new_password_confirm' => 'bbb',
+        ]);
+        $this->controller->changePassword($req, $this->makeResponse());
+    }
+
+    /**
+     * changePassword() doit afficher une erreur si le nouveau mot de passe est trop court.
+     */
+    public function testChangePasswordRedirectsOnWeakPassword(): void
+    {
+        $this->sessionManager->method('getUserId')->willReturn(1);
+        $this->authService->method('changePassword')->willThrowException(new WeakPasswordException());
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('password_error', $this->stringContains('8 caractères'));
+
+        $req = $this->makePost('/account/password', [
+            'current_password'     => 'old',
+            'new_password'         => 'short',
+            'new_password_confirm' => 'short',
+        ]);
+        $res = $this->controller->changePassword($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/account/password');
+    }
+
+    /**
+     * changePassword() doit afficher une erreur si le mot de passe actuel est incorrect.
+     */
+    public function testChangePasswordRedirectsOnWrongCurrentPassword(): void
+    {
+        $this->sessionManager->method('getUserId')->willReturn(1);
+        $this->authService->method('changePassword')
+            ->willThrowException(new \InvalidArgumentException('Mot de passe actuel incorrect'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('password_error', 'Le mot de passe actuel est incorrect');
+
+        $req = $this->makePost('/account/password', [
+            'current_password'     => 'wrong',
+            'new_password'         => 'newpassword',
+            'new_password_confirm' => 'newpassword',
+        ]);
+        $res = $this->controller->changePassword($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/account/password');
+    }
+
+    /**
+     * changePassword() doit afficher une erreur générique en cas d'exception inattendue.
+     */
+    public function testChangePasswordRedirectsOnUnexpectedError(): void
+    {
+        $this->sessionManager->method('getUserId')->willReturn(1);
+        $this->authService->method('changePassword')
+            ->willThrowException(new \RuntimeException('DB error'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('password_error', $this->stringContains('inattendue'));
+
+        $req = $this->makePost('/account/password', [
+            'current_password'     => 'old',
+            'new_password'         => 'newpassword',
+            'new_password_confirm' => 'newpassword',
+        ]);
+        $res = $this->controller->changePassword($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/account/password');
+    }
+
+    /**
+     * changePassword() doit afficher un message de succès et rediriger en cas de succès.
+     */
+    public function testChangePasswordRedirectsWithSuccessFlash(): void
+    {
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('password_success', $this->stringContains('Mot de passe modifié'));
+
+        $req = $this->makePost('/account/password', [
+            'current_password'     => 'oldpass123',
+            'new_password'         => 'newpass123',
+            'new_password_confirm' => 'newpass123',
+        ]);
+        $res = $this->controller->changePassword($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/account/password');
+    }
+
+    /**
+     * changePassword() doit utiliser 0 comme userId de repli si la session est vide.
+     */
+    public function testChangePasswordUsesZeroAsUserIdFallback(): void
+    {
+        $this->sessionManager->method('getUserId')->willReturn(null);
+
+        $this->authService->expects($this->once())
+            ->method('changePassword')
+            ->with(0, $this->anything(), $this->anything());
+
+        $req = $this->makePost('/account/password', [
+            'current_password'     => 'old',
+            'new_password'         => 'newpassword',
+            'new_password_confirm' => 'newpassword',
+        ]);
+        $this->controller->changePassword($req, $this->makeResponse());
+    }
+}
diff --git a/tests/Auth/AuthControllerTest.php b/tests/Auth/AuthControllerTest.php
new file mode 100644
index 0000000..b4336fe
--- /dev/null
+++ b/tests/Auth/AuthControllerTest.php
@@ -0,0 +1,177 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\AuthController;
+use App\Auth\AuthServiceInterface;
+use App\Shared\Http\ClientIpResolver;
+use App\Shared\Http\FlashServiceInterface;
+use App\User\User;
+use PHPUnit\Framework\MockObject\MockObject;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour AuthController.
+ *
+ * Couvre showLogin(), login() et logout() sans passer par le routeur Slim.
+ * AuthService, FlashService et Twig sont mockés — aucune session PHP,
+ * aucune base de données, aucun serveur HTTP n'est requis.
+ */
+final class AuthControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var AuthServiceInterface&MockObject */
+    private AuthServiceInterface $authService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    private AuthController $controller;
+
+    protected function setUp(): void
+    {
+        $this->view        = $this->makeTwigMock();
+        $this->authService = $this->createMock(AuthServiceInterface::class);
+        $this->flash       = $this->createMock(FlashServiceInterface::class);
+
+        $this->controller = new AuthController(
+            $this->view,
+            $this->authService,
+            $this->flash,
+            new ClientIpResolver(['*']),
+        );
+    }
+
+    // ── showLogin ────────────────────────────────────────────────────
+
+    /**
+     * showLogin() doit rediriger vers /admin/posts si l'utilisateur est déjà connecté.
+     */
+    public function testShowLoginRedirectsWhenAlreadyLoggedIn(): void
+    {
+        $this->authService->method('isLoggedIn')->willReturn(true);
+
+        $res = $this->controller->showLogin($this->makeGet('/auth/login'), $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * showLogin() doit rendre le formulaire de connexion si l'utilisateur n'est pas connecté.
+     */
+    public function testShowLoginRendersFormWhenNotLoggedIn(): void
+    {
+        $this->authService->method('isLoggedIn')->willReturn(false);
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'pages/auth/login.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->showLogin($this->makeGet('/auth/login'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── login ────────────────────────────────────────────────────────
+
+    /**
+     * login() doit rediriger avec un message flash si l'IP est verrouillée.
+     */
+    public function testLoginRedirectsWhenRateLimited(): void
+    {
+        $this->authService->method('checkRateLimit')->willReturn(5);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('login_error', $this->stringContains('Trop de tentatives'));
+
+        $req = $this->makePost('/auth/login', [], ['REMOTE_ADDR' => '10.0.0.1']);
+        $res = $this->controller->login($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/auth/login');
+    }
+
+    /**
+     * login() doit conjuguer correctement le singulier/pluriel dans le message de rate limit.
+     */
+    public function testLoginRateLimitMessageIsSingularForOneMinute(): void
+    {
+        $this->authService->method('checkRateLimit')->willReturn(1);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('login_error', $this->logicalNot($this->stringContains('minutes')));
+
+        $req = $this->makePost('/auth/login', [], ['REMOTE_ADDR' => '10.0.0.1']);
+        $this->controller->login($req, $this->makeResponse());
+    }
+
+    /**
+     * login() doit enregistrer l'échec et rediriger si les identifiants sont invalides.
+     */
+    public function testLoginRecordsFailureOnInvalidCredentials(): void
+    {
+        $this->authService->method('checkRateLimit')->willReturn(0);
+        $this->authService->method('authenticate')->willReturn(null);
+
+        $this->authService->expects($this->once())->method('recordFailure');
+        $this->flash->expects($this->once())->method('set')
+            ->with('login_error', 'Identifiants invalides');
+
+        $req = $this->makePost('/auth/login', ['username' => 'alice', 'password' => 'wrong']);
+        $res = $this->controller->login($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/auth/login');
+    }
+
+    /**
+     * login() doit ouvrir la session et rediriger vers /admin/posts en cas de succès.
+     */
+    public function testLoginRedirectsToAdminOnSuccess(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+
+        $this->authService->method('checkRateLimit')->willReturn(0);
+        $this->authService->method('authenticate')->willReturn($user);
+
+        $this->authService->expects($this->once())->method('resetRateLimit');
+        $this->authService->expects($this->once())->method('login')->with($user);
+
+        $req = $this->makePost('/auth/login', ['username' => 'alice', 'password' => 'secret']);
+        $res = $this->controller->login($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * login() doit utiliser '0.0.0.0' comme IP de repli si REMOTE_ADDR est absent.
+     */
+    public function testLoginFallsBackToDefaultIpWhenRemoteAddrMissing(): void
+    {
+        $this->authService->method('checkRateLimit')->willReturn(0);
+        $this->authService->method('authenticate')->willReturn(null);
+
+        $this->authService->expects($this->once())
+            ->method('checkRateLimit')
+            ->with('0.0.0.0');
+
+        $req = $this->makePost('/auth/login');
+        $this->controller->login($req, $this->makeResponse());
+    }
+
+    // ── logout ───────────────────────────────────────────────────────
+
+    /**
+     * logout() doit détruire la session et rediriger vers l'accueil.
+     */
+    public function testLogoutDestroysSessionAndRedirects(): void
+    {
+        $this->authService->expects($this->once())->method('logout');
+
+        $res = $this->controller->logout($this->makePost('/auth/logout'), $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/');
+    }
+}
diff --git a/tests/Auth/AuthServiceRateLimitTest.php b/tests/Auth/AuthServiceRateLimitTest.php
new file mode 100644
index 0000000..6ce49b0
--- /dev/null
+++ b/tests/Auth/AuthServiceRateLimitTest.php
@@ -0,0 +1,220 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\AuthService;
+use App\Auth\LoginAttemptRepositoryInterface;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\UserRepositoryInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour la protection anti-brute force de AuthService.
+ *
+ * Vérifie le comportement de checkRateLimit(), recordFailure() et
+ * resetRateLimit(). Les constantes testées correspondent aux valeurs
+ * définies dans AuthService :
+ *   - MAX_ATTEMPTS = 5  : nombre d'échecs avant verrouillage
+ *   - LOCK_MINUTES = 15 : durée du verrouillage en minutes
+ */
+final class AuthServiceRateLimitTest extends TestCase
+{
+    /** @var UserRepositoryInterface&MockObject */
+    private UserRepositoryInterface $userRepository;
+
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    /** @var LoginAttemptRepositoryInterface&MockObject */
+    private LoginAttemptRepositoryInterface $loginAttemptRepository;
+
+    private AuthService $service;
+
+    protected function setUp(): void
+    {
+        $this->userRepository         = $this->createMock(UserRepositoryInterface::class);
+        $this->sessionManager         = $this->createMock(SessionManagerInterface::class);
+        $this->loginAttemptRepository = $this->createMock(LoginAttemptRepositoryInterface::class);
+
+        $this->service = new AuthService(
+            $this->userRepository,
+            $this->sessionManager,
+            $this->loginAttemptRepository,
+        );
+    }
+
+
+    // ── checkRateLimit ─────────────────────────────────────────────
+
+    /**
+     * checkRateLimit() doit retourner 0 si l'IP n'a aucune entrée en base.
+     */
+    public function testCheckRateLimitUnknownIpReturnsZero(): void
+    {
+        $this->loginAttemptRepository->method('deleteExpired');
+        $this->loginAttemptRepository->method('findByIp')->willReturn(null);
+
+        $result = $this->service->checkRateLimit('192.168.1.1');
+
+        $this->assertSame(0, $result);
+    }
+
+    /**
+     * checkRateLimit() doit retourner 0 si l'IP a des tentatives
+     * mais n'est pas encore verrouillée (locked_until = null).
+     */
+    public function testCheckRateLimitNoLockReturnsZero(): void
+    {
+        $this->loginAttemptRepository->method('deleteExpired');
+        $this->loginAttemptRepository->method('findByIp')->willReturn([
+            'ip'           => '192.168.1.1',
+            'attempts'     => 3,
+            'locked_until' => null,
+            'updated_at'   => date('Y-m-d H:i:s'),
+        ]);
+
+        $result = $this->service->checkRateLimit('192.168.1.1');
+
+        $this->assertSame(0, $result);
+    }
+
+    /**
+     * checkRateLimit() doit retourner le nombre de minutes restantes
+     * si l'IP est actuellement verrouillée.
+     */
+    public function testCheckRateLimitLockedIpReturnsRemainingMinutes(): void
+    {
+        $lockedUntil = date('Y-m-d H:i:s', time() + 10 * 60);
+
+        $this->loginAttemptRepository->method('deleteExpired');
+        $this->loginAttemptRepository->method('findByIp')->willReturn([
+            'ip'           => '192.168.1.1',
+            'attempts'     => 5,
+            'locked_until' => $lockedUntil,
+            'updated_at'   => date('Y-m-d H:i:s'),
+        ]);
+
+        $result = $this->service->checkRateLimit('192.168.1.1');
+
+        $this->assertGreaterThan(0, $result);
+        $this->assertLessThanOrEqual(15, $result);
+    }
+
+    /**
+     * checkRateLimit() doit retourner au minimum 1 minute
+     * même si le verrouillage expire dans quelques secondes.
+     */
+    public function testCheckRateLimitReturnsAtLeastOneMinute(): void
+    {
+        $lockedUntil = date('Y-m-d H:i:s', time() + 30);
+
+        $this->loginAttemptRepository->method('deleteExpired');
+        $this->loginAttemptRepository->method('findByIp')->willReturn([
+            'ip'           => '192.168.1.1',
+            'attempts'     => 5,
+            'locked_until' => $lockedUntil,
+            'updated_at'   => date('Y-m-d H:i:s'),
+        ]);
+
+        $result = $this->service->checkRateLimit('192.168.1.1');
+
+        $this->assertSame(1, $result);
+    }
+
+    /**
+     * checkRateLimit() doit retourner 0 si le verrouillage est expiré.
+     */
+    public function testCheckRateLimitExpiredLockReturnsZero(): void
+    {
+        $lockedUntil = date('Y-m-d H:i:s', time() - 60);
+
+        $this->loginAttemptRepository->method('deleteExpired');
+        $this->loginAttemptRepository->method('findByIp')->willReturn([
+            'ip'           => '192.168.1.1',
+            'attempts'     => 5,
+            'locked_until' => $lockedUntil,
+            'updated_at'   => date('Y-m-d H:i:s'),
+        ]);
+
+        $result = $this->service->checkRateLimit('192.168.1.1');
+
+        $this->assertSame(0, $result);
+    }
+
+    /**
+     * checkRateLimit() doit toujours appeler deleteExpired() avant la vérification.
+     */
+    public function testCheckRateLimitCallsDeleteExpired(): void
+    {
+        $this->loginAttemptRepository
+            ->expects($this->once())
+            ->method('deleteExpired');
+
+        $this->loginAttemptRepository->method('findByIp')->willReturn(null);
+
+        $this->service->checkRateLimit('192.168.1.1');
+    }
+
+
+    // ── recordFailure ──────────────────────────────────────────────
+
+    /**
+     * recordFailure() doit déléguer avec MAX_ATTEMPTS = 5 et LOCK_MINUTES = 15.
+     */
+    public function testRecordFailureDelegatesWithConstants(): void
+    {
+        $this->loginAttemptRepository
+            ->expects($this->once())
+            ->method('recordFailure')
+            ->with('192.168.1.1', 5, 15);
+
+        $this->service->recordFailure('192.168.1.1');
+    }
+
+    /**
+     * recordFailure() doit transmettre l'adresse IP exacte au dépôt.
+     */
+    public function testRecordFailurePassesIpAddress(): void
+    {
+        $ip = '10.0.0.42';
+
+        $this->loginAttemptRepository
+            ->expects($this->once())
+            ->method('recordFailure')
+            ->with($ip, $this->anything(), $this->anything());
+
+        $this->service->recordFailure($ip);
+    }
+
+
+    // ── resetRateLimit ─────────────────────────────────────────────
+
+    /**
+     * resetRateLimit() doit appeler resetForIp() avec l'adresse IP fournie.
+     */
+    public function testResetRateLimitCallsResetForIp(): void
+    {
+        $ip = '192.168.1.1';
+
+        $this->loginAttemptRepository
+            ->expects($this->once())
+            ->method('resetForIp')
+            ->with($ip);
+
+        $this->service->resetRateLimit($ip);
+    }
+
+    /**
+     * resetRateLimit() ne doit pas appeler recordFailure() ni deleteExpired().
+     */
+    public function testResetRateLimitCallsNothingElse(): void
+    {
+        $this->loginAttemptRepository->expects($this->never())->method('recordFailure');
+        $this->loginAttemptRepository->expects($this->never())->method('deleteExpired');
+        $this->loginAttemptRepository->method('resetForIp');
+
+        $this->service->resetRateLimit('192.168.1.1');
+    }
+}
diff --git a/tests/Auth/AuthServiceTest.php b/tests/Auth/AuthServiceTest.php
new file mode 100644
index 0000000..17a51e7
--- /dev/null
+++ b/tests/Auth/AuthServiceTest.php
@@ -0,0 +1,244 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\AuthService;
+use App\Auth\LoginAttemptRepositoryInterface;
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use App\User\UserRepositoryInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour AuthService.
+ *
+ * Vérifie l'authentification, le changement de mot de passe et la gestion
+ * des sessions. La création de comptes est couverte par UserServiceTest.
+ * Les dépendances sont remplacées par des mocks via leurs interfaces pour
+ * isoler le service.
+ */
+final class AuthServiceTest extends TestCase
+{
+    /** @var UserRepositoryInterface&MockObject */
+    private UserRepositoryInterface $userRepository;
+
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    /** @var LoginAttemptRepositoryInterface&MockObject */
+    private LoginAttemptRepositoryInterface $loginAttemptRepository;
+
+    private AuthService $service;
+
+    protected function setUp(): void
+    {
+        $this->userRepository         = $this->createMock(UserRepositoryInterface::class);
+        $this->sessionManager         = $this->createMock(SessionManagerInterface::class);
+        $this->loginAttemptRepository = $this->createMock(LoginAttemptRepositoryInterface::class);
+
+        $this->service = new AuthService(
+            $this->userRepository,
+            $this->sessionManager,
+            $this->loginAttemptRepository,
+        );
+    }
+
+
+    // ── authenticate ───────────────────────────────────────────────
+
+    /**
+     * authenticate() doit retourner l'utilisateur si les identifiants sont corrects.
+     */
+    public function testAuthenticateValidCredentials(): void
+    {
+        $password = 'motdepasse1';
+        $user     = $this->makeUser('alice', 'alice@example.com', $password);
+
+        $this->userRepository->method('findByUsername')->with('alice')->willReturn($user);
+
+        $result = $this->service->authenticate('alice', $password);
+
+        $this->assertSame($user, $result);
+    }
+
+    /**
+     * authenticate() doit normaliser le nom d'utilisateur en minuscules.
+     */
+    public function testAuthenticateNormalizesUsername(): void
+    {
+        $password = 'motdepasse1';
+        $user     = $this->makeUser('alice', 'alice@example.com', $password);
+
+        $this->userRepository->method('findByUsername')->with('alice')->willReturn($user);
+
+        $result = $this->service->authenticate('ALICE', $password);
+
+        $this->assertNotNull($result);
+    }
+
+    /**
+     * authenticate() doit retourner null si l'utilisateur est introuvable.
+     */
+    public function testAuthenticateUnknownUser(): void
+    {
+        $this->userRepository->method('findByUsername')->willReturn(null);
+
+        $result = $this->service->authenticate('inconnu', 'motdepasse1');
+
+        $this->assertNull($result);
+    }
+
+    /**
+     * authenticate() doit retourner null si le mot de passe est incorrect.
+     */
+    public function testAuthenticateWrongPassword(): void
+    {
+        $user = $this->makeUser('alice', 'alice@example.com', 'bonmotdepasse');
+        $this->userRepository->method('findByUsername')->willReturn($user);
+
+        $result = $this->service->authenticate('alice', 'mauvaismdp');
+
+        $this->assertNull($result);
+    }
+
+
+    // ── changePassword ─────────────────────────────────────────────
+
+    /**
+     * changePassword() doit mettre à jour le hash si les données sont valides.
+     */
+    public function testChangePasswordWithValidData(): void
+    {
+        $password = 'ancienmdp1';
+        $user     = $this->makeUser('alice', 'alice@example.com', $password, 1);
+
+        $this->userRepository->method('findById')->with(1)->willReturn($user);
+        $this->userRepository->expects($this->once())->method('updatePassword')->with(1);
+
+        $this->service->changePassword(1, $password, 'nouveaumdp1');
+    }
+
+    /**
+     * changePassword() doit lever une exception si le mot de passe actuel est incorrect.
+     */
+    public function testChangePasswordWrongCurrentPassword(): void
+    {
+        $user = $this->makeUser('alice', 'alice@example.com', 'bonmotdepasse', 1);
+        $this->userRepository->method('findById')->willReturn($user);
+
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessageMatches('/actuel incorrect/');
+
+        $this->service->changePassword(1, 'mauvaismdp', 'nouveaumdp1');
+    }
+
+    /**
+     * changePassword() avec exactement 8 caractères doit réussir (frontière basse).
+     */
+    public function testChangePasswordMinimumLengthNewPassword(): void
+    {
+        $password = 'ancienmdp1';
+        $user     = $this->makeUser('alice', 'alice@example.com', $password, 1);
+        $this->userRepository->method('findById')->willReturn($user);
+        $this->userRepository->expects($this->once())->method('updatePassword');
+
+        // Ne doit pas lever d'exception
+        $this->service->changePassword(1, $password, '12345678');
+        $this->addToAssertionCount(1);
+    }
+
+    /**
+     * changePassword() doit lever WeakPasswordException si le nouveau mot de passe est trop court.
+     */
+    public function testChangePasswordTooShortNewPasswordThrowsWeakPasswordException(): void
+    {
+        $password = 'ancienmdp1';
+        $user     = $this->makeUser('alice', 'alice@example.com', $password, 1);
+        $this->userRepository->method('findById')->willReturn($user);
+
+        $this->expectException(WeakPasswordException::class);
+
+        $this->service->changePassword(1, $password, '1234567');
+    }
+
+    /**
+     * changePassword() doit lever NotFoundException si l'utilisateur est introuvable.
+     */
+    public function testChangePasswordUnknownUserThrowsNotFoundException(): void
+    {
+        $this->userRepository->method('findById')->willReturn(null);
+
+        $this->expectException(NotFoundException::class);
+
+        $this->service->changePassword(99, 'ancienmdp1', 'nouveaumdp1');
+    }
+
+
+    // ── login / logout / isLoggedIn ────────────────────────────────
+
+    /**
+     * login() doit appeler SessionManager::setUser() avec les bonnes données.
+     */
+    public function testLoginCallsSetUser(): void
+    {
+        $user = $this->makeUser('alice', 'alice@example.com', 'secret', 7, User::ROLE_ADMIN);
+
+        $this->sessionManager->expects($this->once())
+            ->method('setUser')
+            ->with(7, 'alice', User::ROLE_ADMIN);
+
+        $this->service->login($user);
+    }
+
+    /**
+     * logout() doit appeler SessionManager::destroy().
+     */
+    public function testLogoutCallsDestroy(): void
+    {
+        $this->sessionManager->expects($this->once())->method('destroy');
+
+        $this->service->logout();
+    }
+
+    /**
+     * isLoggedIn() doit déléguer à SessionManager::isAuthenticated().
+     */
+    public function testIsLoggedInDelegatesToSessionManager(): void
+    {
+        $this->sessionManager->method('isAuthenticated')->willReturn(true);
+
+        $this->assertTrue($this->service->isLoggedIn());
+    }
+
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un utilisateur de test avec un hash bcrypt du mot de passe fourni.
+     *
+     * @param string $username Nom d'utilisateur
+     * @param string $email    Adresse e-mail
+     * @param string $password Mot de passe en clair (haché en bcrypt)
+     * @param int    $id       Identifiant (défaut : 1)
+     * @param string $role     Rôle (défaut : 'user')
+     */
+    private function makeUser(
+        string $username,
+        string $email,
+        string $password = 'motdepasse1',
+        int $id = 1,
+        string $role = User::ROLE_USER,
+    ): User {
+        return new User(
+            $id,
+            $username,
+            $email,
+            password_hash($password, PASSWORD_BCRYPT),
+            $role,
+        );
+    }
+}
diff --git a/tests/Auth/LoginAttemptRepositoryTest.php b/tests/Auth/LoginAttemptRepositoryTest.php
new file mode 100644
index 0000000..ebb7d6b
--- /dev/null
+++ b/tests/Auth/LoginAttemptRepositoryTest.php
@@ -0,0 +1,276 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\LoginAttemptRepository;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour LoginAttemptRepository.
+ *
+ * Vérifie la logique interne de gestion des tentatives de connexion :
+ * lecture par IP, UPSERT atomique via prepare/execute, réinitialisation
+ * et nettoyage des entrées expirées.
+ *
+ * recordFailure() utilise un UPSERT SQL atomique (ON CONFLICT DO UPDATE)
+ * pour éliminer la race condition du pattern SELECT + INSERT/UPDATE.
+ * Les tests vérifient que prepare() est appelé avec le bon SQL et que
+ * execute() reçoit les bons paramètres.
+ *
+ * PDO et PDOStatement sont mockés pour isoler complètement
+ * le dépôt de la base de données.
+ */
+final class LoginAttemptRepositoryTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    private LoginAttemptRepository $repository;
+
+    /**
+     * Initialise le mock PDO et le dépôt avant chaque test.
+     */
+    protected function setUp(): void
+    {
+        $this->db         = $this->createMock(PDO::class);
+        $this->repository = new LoginAttemptRepository($this->db);
+    }
+
+    // ── Helper ─────────────────────────────────────────────────────
+
+    private function stmtOk(): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetch')->willReturn(false);
+
+        return $stmt;
+    }
+
+
+    // ── findByIp ───────────────────────────────────────────────────
+
+    /**
+     * findByIp() doit retourner null si aucune entrée n'existe pour cette IP.
+     */
+    public function testFindByIpReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetch')->willReturn(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findByIp('192.168.1.1'));
+    }
+
+    /**
+     * findByIp() doit retourner le tableau associatif si une entrée existe.
+     */
+    public function testFindByIpReturnsRowWhenFound(): void
+    {
+        $row = [
+            'ip'           => '192.168.1.1',
+            'attempts'     => 3,
+            'locked_until' => null,
+            'updated_at'   => date('Y-m-d H:i:s'),
+        ];
+
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetch')->willReturn($row);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame($row, $this->repository->findByIp('192.168.1.1'));
+    }
+
+    /**
+     * findByIp() exécute avec la bonne IP.
+     */
+    public function testFindByIpQueriesWithCorrectIp(): void
+    {
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':ip' => '10.0.0.1']);
+
+        $this->repository->findByIp('10.0.0.1');
+    }
+
+
+    // ── recordFailure — UPSERT atomique ────────────────────────────
+
+    /**
+     * recordFailure() doit utiliser un UPSERT SQL (ON CONFLICT DO UPDATE)
+     * via prepare/execute — garantie de l'atomicité.
+     */
+    public function testRecordFailureUsesUpsertSql(): void
+    {
+        $stmt = $this->stmtOk();
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->logicalAnd(
+                $this->stringContains('INSERT INTO login_attempts'),
+                $this->stringContains('ON CONFLICT'),
+            ))
+            ->willReturn($stmt);
+
+        $this->repository->recordFailure('192.168.1.1', 5, 15);
+    }
+
+    /**
+     * recordFailure() doit passer la bonne IP au paramètre :ip.
+     */
+    public function testRecordFailurePassesCorrectIp(): void
+    {
+        $ip   = '10.0.0.42';
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $p): bool => $p[':ip'] === $ip));
+
+        $this->repository->recordFailure($ip, 5, 15);
+    }
+
+    /**
+     * recordFailure() doit passer le seuil maxAttempts sous les deux alias :max1 et :max2.
+     *
+     * PDO interdit les paramètres nommés dupliqués dans une même requête ;
+     * le seuil est donc passé deux fois avec des noms distincts.
+     */
+    public function testRecordFailurePassesMaxAttemptsUnderBothAliases(): void
+    {
+        $max  = 7;
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $p): bool =>
+                $p[':max1'] === $max && $p[':max2'] === $max
+            ));
+
+        $this->repository->recordFailure('192.168.1.1', $max, 15);
+    }
+
+    /**
+     * recordFailure() doit calculer locked_until dans la fenêtre attendue.
+     *
+     * :lock1 et :lock2 doivent être égaux et correspondre à
+     * maintenant + lockMinutes (± 5 secondes de tolérance d'exécution).
+     */
+    public function testRecordFailureLockedUntilIsInCorrectWindow(): void
+    {
+        $lockMinutes = 15;
+        $before      = time() + $lockMinutes * 60 - 5;
+        $after       = time() + $lockMinutes * 60 + 5;
+
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $p) use ($before, $after): bool {
+                foreach ([':lock1', ':lock2'] as $key) {
+                    if (!isset($p[$key])) {
+                        return false;
+                    }
+                    $ts = strtotime($p[$key]);
+                    if ($ts < $before || $ts > $after) {
+                        return false;
+                    }
+                }
+
+                return $p[':lock1'] === $p[':lock2'];
+            }));
+
+        $this->repository->recordFailure('192.168.1.1', 5, $lockMinutes);
+    }
+
+    /**
+     * recordFailure() doit horodater :now1 et :now2 dans la fenêtre de l'instant présent.
+     */
+    public function testRecordFailureNowParamsAreCurrentTime(): void
+    {
+        $before = time() - 2;
+        $after  = time() + 2;
+
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $p) use ($before, $after): bool {
+                foreach ([':now1', ':now2'] as $key) {
+                    if (!isset($p[$key])) {
+                        return false;
+                    }
+                    $ts = strtotime($p[$key]);
+                    if ($ts < $before || $ts > $after) {
+                        return false;
+                    }
+                }
+
+                return $p[':now1'] === $p[':now2'];
+            }));
+
+        $this->repository->recordFailure('192.168.1.1', 5, 15);
+    }
+
+
+    // ── resetForIp ─────────────────────────────────────────────────
+
+    /**
+     * resetForIp() doit préparer un DELETE ciblant la bonne IP.
+     */
+    public function testResetForIpCallsDeleteWithCorrectIp(): void
+    {
+        $ip   = '10.0.0.42';
+        $stmt = $this->stmtOk();
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('DELETE FROM login_attempts'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':ip' => $ip]);
+
+        $this->repository->resetForIp($ip);
+    }
+
+
+    // ── deleteExpired ──────────────────────────────────────────────
+
+    /**
+     * deleteExpired() doit préparer un DELETE ciblant locked_until expiré
+     * et lier une date au format 'Y-m-d H:i:s' comme paramètre :now.
+     */
+    public function testDeleteExpiredExecutesQueryWithCurrentTimestamp(): void
+    {
+        $stmt = $this->stmtOk();
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('DELETE FROM login_attempts'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $params): bool {
+                return isset($params[':now'])
+                    && (bool) \DateTime::createFromFormat('Y-m-d H:i:s', $params[':now']);
+            }));
+
+        $this->repository->deleteExpired();
+    }
+}
diff --git a/tests/Auth/MiddlewareTest.php b/tests/Auth/MiddlewareTest.php
new file mode 100644
index 0000000..7515bc6
--- /dev/null
+++ b/tests/Auth/MiddlewareTest.php
@@ -0,0 +1,109 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\Middleware\AdminMiddleware;
+use App\Auth\Middleware\AuthMiddleware;
+use App\Auth\Middleware\EditorMiddleware;
+use App\Shared\Http\SessionManagerInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\ResponseInterface;
+use Psr\Http\Message\ServerRequestInterface;
+use Psr\Http\Server\RequestHandlerInterface;
+use Slim\Psr7\Factory\ServerRequestFactory;
+use Slim\Psr7\Response;
+
+final class MiddlewareTest extends TestCase
+{
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    private ServerRequestInterface $request;
+
+    protected function setUp(): void
+    {
+        $this->sessionManager = $this->createMock(SessionManagerInterface::class);
+        $this->request = (new ServerRequestFactory())->createServerRequest('GET', '/admin');
+    }
+
+    public function testAuthMiddlewareRedirectsGuests(): void
+    {
+        $this->sessionManager->method('isAuthenticated')->willReturn(false);
+
+        $middleware = new AuthMiddleware($this->sessionManager);
+        $response = $middleware->process($this->request, $this->makeHandler());
+
+        self::assertSame(302, $response->getStatusCode());
+        self::assertSame('/auth/login', $response->getHeaderLine('Location'));
+    }
+
+    public function testAuthMiddlewareDelegatesWhenAuthenticated(): void
+    {
+        $this->sessionManager->method('isAuthenticated')->willReturn(true);
+
+        $middleware = new AuthMiddleware($this->sessionManager);
+        $response = $middleware->process($this->request, $this->makeHandler(204));
+
+        self::assertSame(204, $response->getStatusCode());
+    }
+
+    public function testAdminMiddlewareRedirectsNonAdmins(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+
+        $middleware = new AdminMiddleware($this->sessionManager);
+        $response = $middleware->process($this->request, $this->makeHandler());
+
+        self::assertSame(302, $response->getStatusCode());
+        self::assertSame('/admin/posts', $response->getHeaderLine('Location'));
+    }
+
+    public function testAdminMiddlewareDelegatesForAdmins(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+
+        $middleware = new AdminMiddleware($this->sessionManager);
+        $response = $middleware->process($this->request, $this->makeHandler(204));
+
+        self::assertSame(204, $response->getStatusCode());
+    }
+
+    public function testEditorMiddlewareRedirectsWhenNeitherAdminNorEditor(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+
+        $middleware = new EditorMiddleware($this->sessionManager);
+        $response = $middleware->process($this->request, $this->makeHandler());
+
+        self::assertSame(302, $response->getStatusCode());
+        self::assertSame('/admin/posts', $response->getHeaderLine('Location'));
+    }
+
+    public function testEditorMiddlewareDelegatesForEditors(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(true);
+
+        $middleware = new EditorMiddleware($this->sessionManager);
+        $response = $middleware->process($this->request, $this->makeHandler(204));
+
+        self::assertSame(204, $response->getStatusCode());
+    }
+
+    private function makeHandler(int $status = 200): RequestHandlerInterface
+    {
+        return new class ($status) implements RequestHandlerInterface {
+            public function __construct(private readonly int $status)
+            {
+            }
+
+            public function handle(ServerRequestInterface $request): ResponseInterface
+            {
+                return new Response($this->status);
+            }
+        };
+    }
+}
diff --git a/tests/Auth/PasswordResetControllerTest.php b/tests/Auth/PasswordResetControllerTest.php
new file mode 100644
index 0000000..2be3f40
--- /dev/null
+++ b/tests/Auth/PasswordResetControllerTest.php
@@ -0,0 +1,409 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\AuthServiceInterface;
+use App\Auth\PasswordResetController;
+use App\Auth\Exception\InvalidResetTokenException;
+use App\Auth\PasswordResetServiceInterface;
+use App\Shared\Http\FlashServiceInterface;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use PHPUnit\Framework\MockObject\MockObject;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour PasswordResetController.
+ *
+ * Couvre le flux en deux étapes :
+ *  1. showForgot() / forgot() — demande de réinitialisation
+ *  2. showReset() / reset()   — saisie du nouveau mot de passe
+ *
+ * Points clés :
+ *  - forgot() vérifie le rate limit par IP avant tout traitement
+ *  - forgot() enregistre systématiquement une tentative (anti-canal-caché)
+ *  - forgot() affiche toujours un message de succès générique (anti-énumération)
+ *  - showReset() valide le token avant d'afficher le formulaire
+ *  - reset() couvre 5 chemins de sortie (token vide, mismatch, trop court, invalide, succès)
+ */
+final class PasswordResetControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var PasswordResetServiceInterface&MockObject */
+    private PasswordResetServiceInterface $passwordResetService;
+
+    /** @var AuthServiceInterface&MockObject */
+    private AuthServiceInterface $authService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    private PasswordResetController $controller;
+
+    private const BASE_URL = 'https://example.com';
+
+    protected function setUp(): void
+    {
+        $this->view                 = $this->makeTwigMock();
+        $this->passwordResetService = $this->createMock(PasswordResetServiceInterface::class);
+        $this->authService          = $this->createMock(AuthServiceInterface::class);
+        $this->flash                = $this->createMock(FlashServiceInterface::class);
+
+        // Par défaut : IP non verrouillée
+        $this->authService->method('checkRateLimit')->willReturn(0);
+
+        $this->controller = new PasswordResetController(
+            $this->view,
+            $this->passwordResetService,
+            $this->authService,
+            $this->flash,
+            self::BASE_URL,
+        );
+    }
+
+    // ── showForgot ───────────────────────────────────────────────────
+
+    /**
+     * showForgot() doit rendre le formulaire de demande de réinitialisation.
+     */
+    public function testShowForgotRendersForm(): void
+    {
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'pages/auth/password-forgot.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->showForgot($this->makeGet('/password/forgot'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── forgot — rate limiting ────────────────────────────────────────
+
+    /**
+     * forgot() doit rediriger avec une erreur générique si l'IP est verrouillée.
+     *
+     * Le message ne mentionne pas l'email pour ne pas révéler qu'une demande
+     * pour cette adresse a déjà été traitée.
+     *
+     * Note : le mock setUp() est reconfiguré ici via un nouveau mock pour éviter
+     * le conflit avec le willReturn(0) global — en PHPUnit 11 la première
+     * configuration prend la main sur les suivantes pour le même matcher any().
+     */
+    public function testForgotRedirectsWhenRateLimited(): void
+    {
+        $authService = $this->createMock(AuthServiceInterface::class);
+        $authService->method('checkRateLimit')->willReturn(10);
+
+        $controller = new PasswordResetController(
+            $this->view,
+            $this->passwordResetService,
+            $authService,
+            $this->flash,
+            self::BASE_URL,
+        );
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('Trop de demandes'));
+
+        $req = $this->makePost('/password/forgot', ['email' => 'alice@example.com']);
+        $res = $controller->forgot($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/forgot');
+    }
+
+    /**
+     * forgot() ne doit pas appeler requestReset() si l'IP est verrouillée.
+     */
+    public function testForgotDoesNotCallServiceWhenRateLimited(): void
+    {
+        $authService = $this->createMock(AuthServiceInterface::class);
+        $authService->method('checkRateLimit')->willReturn(5);
+
+        $controller = new PasswordResetController(
+            $this->view,
+            $this->passwordResetService,
+            $authService,
+            $this->flash,
+            self::BASE_URL,
+        );
+
+        $this->passwordResetService->expects($this->never())->method('requestReset');
+
+        $req = $this->makePost('/password/forgot', ['email' => 'alice@example.com']);
+        $controller->forgot($req, $this->makeResponse());
+    }
+
+    /**
+     * forgot() doit enregistrer une tentative pour chaque demande, quel que soit le résultat.
+     *
+     * Réinitialiser le compteur uniquement en cas de succès constituerait un canal
+     * caché permettant de déduire si l'adresse email est enregistrée.
+     */
+    public function testForgotAlwaysRecordsFailure(): void
+    {
+        $this->authService->expects($this->once())->method('recordFailure');
+
+        $req = $this->makePost('/password/forgot', ['email' => 'alice@example.com']);
+        $this->controller->forgot($req, $this->makeResponse());
+    }
+
+    /**
+     * forgot() ne doit jamais réinitialiser le compteur de rate limit.
+     *
+     * Un reset sur succès révélerait l'existence du compte (canal caché).
+     */
+    public function testForgotNeverResetsRateLimit(): void
+    {
+        $this->authService->expects($this->never())->method('resetRateLimit');
+
+        $req = $this->makePost('/password/forgot', ['email' => 'alice@example.com']);
+        $this->controller->forgot($req, $this->makeResponse());
+    }
+
+    // ── forgot — comportement nominal ────────────────────────────────
+
+    /**
+     * forgot() doit afficher un message de succès générique même si l'email est inconnu.
+     *
+     * Protection contre l'énumération des comptes : le comportement externe
+     * ne doit pas révéler si l'adresse est enregistrée.
+     */
+    public function testForgotAlwaysShowsGenericSuccessMessage(): void
+    {
+        // requestReset() est void — aucun stub nécessaire, le mock ne lève pas d'exception par défaut
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_success', $this->stringContains('Si cette adresse'));
+
+        $req = $this->makePost('/password/forgot', ['email' => 'unknown@example.com']);
+        $res = $this->controller->forgot($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/forgot');
+    }
+
+    /**
+     * forgot() doit afficher une erreur et rediriger si l'envoi d'email échoue.
+     */
+    public function testForgotRedirectsWithErrorOnMailFailure(): void
+    {
+        $this->passwordResetService->method('requestReset')
+            ->willThrowException(new \RuntimeException('SMTP error'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('erreur est survenue'));
+
+        $req = $this->makePost('/password/forgot', ['email' => 'alice@example.com']);
+        $res = $this->controller->forgot($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/forgot');
+    }
+
+    /**
+     * forgot() doit transmettre l'APP_URL au service lors de la demande.
+     */
+    public function testForgotPassesBaseUrlToService(): void
+    {
+        $this->passwordResetService->expects($this->once())
+            ->method('requestReset')
+            ->with($this->anything(), self::BASE_URL);
+
+        $req = $this->makePost('/password/forgot', ['email' => 'alice@example.com']);
+        $this->controller->forgot($req, $this->makeResponse());
+    }
+
+    // ── showReset ────────────────────────────────────────────────────
+
+    /**
+     * showReset() doit rediriger avec une erreur si le paramètre token est absent.
+     */
+    public function testShowResetRedirectsWhenTokenMissing(): void
+    {
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('manquant'));
+
+        $res = $this->controller->showReset($this->makeGet('/password/reset'), $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/forgot');
+    }
+
+    /**
+     * showReset() doit rediriger avec une erreur si le token est invalide ou expiré.
+     */
+    public function testShowResetRedirectsWhenTokenInvalid(): void
+    {
+        $this->passwordResetService->method('validateToken')->willReturn(null);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('invalide'));
+
+        $req = $this->makeGet('/password/reset', ['token' => 'invalid-token']);
+        $res = $this->controller->showReset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/forgot');
+    }
+
+    /**
+     * showReset() doit rendre le formulaire si le token est valide.
+     */
+    public function testShowResetRendersFormWhenTokenValid(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+        $this->passwordResetService->method('validateToken')->willReturn($user);
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'pages/auth/password-reset.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $req = $this->makeGet('/password/reset', ['token' => 'valid-token']);
+        $res = $this->controller->showReset($req, $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── reset ────────────────────────────────────────────────────────
+
+    /**
+     * reset() doit rediriger vers /password/forgot si le token est absent du corps.
+     */
+    public function testResetRedirectsToForgotWhenTokenMissing(): void
+    {
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('manquant'));
+
+        $req = $this->makePost('/password/reset', [
+            'token'                => '',
+            'new_password'         => 'newpass123',
+            'new_password_confirm' => 'newpass123',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/forgot');
+    }
+
+    /**
+     * reset() doit rediriger avec une erreur si les mots de passe ne correspondent pas.
+     */
+    public function testResetRedirectsWhenPasswordMismatch(): void
+    {
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('correspondent pas'));
+
+        $req = $this->makePost('/password/reset', [
+            'token'                => 'abc123',
+            'new_password'         => 'newpass1',
+            'new_password_confirm' => 'newpass2',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/reset?token=abc123');
+    }
+
+    /**
+     * reset() doit rediriger avec une erreur si le nouveau mot de passe est trop court.
+     */
+    public function testResetRedirectsOnWeakPassword(): void
+    {
+        $this->passwordResetService->method('resetPassword')
+            ->willThrowException(new WeakPasswordException());
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('8 caractères'));
+
+        $req = $this->makePost('/password/reset', [
+            'token'                => 'abc123',
+            'new_password'         => 'short',
+            'new_password_confirm' => 'short',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/reset?token=abc123');
+    }
+
+    /**
+     * reset() doit rediriger avec une erreur si le token est invalide ou expiré.
+     */
+    public function testResetRedirectsOnInvalidToken(): void
+    {
+        $this->passwordResetService->method('resetPassword')
+            ->willThrowException(new InvalidResetTokenException('Token invalide'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('invalide'));
+
+        $req = $this->makePost('/password/reset', [
+            'token'                => 'expired-token',
+            'new_password'         => 'newpass123',
+            'new_password_confirm' => 'newpass123',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/reset?token=expired-token');
+    }
+
+    /**
+     * reset() doit rediriger avec une erreur générique en cas d'exception inattendue.
+     */
+    public function testResetRedirectsOnUnexpectedError(): void
+    {
+        $this->passwordResetService->method('resetPassword')
+            ->willThrowException(new \RuntimeException('DB error'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('reset_error', $this->stringContains('inattendue'));
+
+        $req = $this->makePost('/password/reset', [
+            'token'                => 'abc123',
+            'new_password'         => 'newpass123',
+            'new_password_confirm' => 'newpass123',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/password/reset?token=abc123');
+    }
+
+    /**
+     * reset() doit flasher un succès et rediriger vers /auth/login en cas de succès.
+     */
+    public function testResetRedirectsToLoginOnSuccess(): void
+    {
+        $this->flash->expects($this->once())->method('set')
+            ->with('login_success', $this->stringContains('réinitialisé'));
+
+        $req = $this->makePost('/password/reset', [
+            'token'                => 'valid-token',
+            'new_password'         => 'newpass123',
+            'new_password_confirm' => 'newpass123',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/auth/login');
+    }
+
+    /**
+     * reset() doit encoder correctement le token dans l'URL de redirection en cas d'erreur.
+     */
+    public function testResetEncodesTokenInRedirectUrl(): void
+    {
+        $this->passwordResetService->method('resetPassword')
+            ->willThrowException(new WeakPasswordException());
+        $this->flash->method('set');
+
+        $token = 'tok/en+with=special&chars';
+        $req = $this->makePost('/password/reset', [
+            'token'                => $token,
+            'new_password'         => 'x',
+            'new_password_confirm' => 'x',
+        ]);
+        $res = $this->controller->reset($req, $this->makeResponse());
+
+        $this->assertSame(
+            '/password/reset?token=' . urlencode($token),
+            $res->getHeaderLine('Location'),
+        );
+    }
+}
diff --git a/tests/Auth/PasswordResetRepositoryTest.php b/tests/Auth/PasswordResetRepositoryTest.php
new file mode 100644
index 0000000..f912d1e
--- /dev/null
+++ b/tests/Auth/PasswordResetRepositoryTest.php
@@ -0,0 +1,249 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\PasswordResetRepository;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour PasswordResetRepository.
+ *
+ * Vérifie que chaque méthode construit le bon SQL avec les bons paramètres,
+ * notamment la logique de non-suppression des tokens (used_at) et la
+ * condition AND used_at IS NULL pour les tokens actifs.
+ *
+ * PDO et PDOStatement sont mockés pour isoler complètement
+ * le dépôt de la base de données.
+ */
+final class PasswordResetRepositoryTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    private PasswordResetRepository $repository;
+
+    /**
+     * Initialise le mock PDO et le dépôt avant chaque test.
+     */
+    protected function setUp(): void
+    {
+        $this->db         = $this->createMock(PDO::class);
+        $this->repository = new PasswordResetRepository($this->db);
+    }
+
+    // ── Helper ─────────────────────────────────────────────────────
+
+    private function stmtOk(array|false $fetchReturn = false): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetch')->willReturn($fetchReturn);
+
+        return $stmt;
+    }
+
+
+    // ── create ─────────────────────────────────────────────────────
+
+    /**
+     * create() doit préparer un INSERT sur 'password_resets'
+     * avec le user_id, le token_hash et la date d'expiration fournis.
+     */
+    public function testCreateCallsInsertWithCorrectData(): void
+    {
+        $userId    = 1;
+        $tokenHash = hash('sha256', 'montokenbrut');
+        $expiresAt = date('Y-m-d H:i:s', time() + 3600);
+        $stmt      = $this->stmtOk();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('INSERT INTO password_resets'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data) use ($userId, $tokenHash, $expiresAt): bool {
+                return $data[':user_id']    === $userId
+                    && $data[':token_hash'] === $tokenHash
+                    && $data[':expires_at'] === $expiresAt
+                    && isset($data[':created_at']);
+            }));
+
+        $this->repository->create($userId, $tokenHash, $expiresAt);
+    }
+
+    /**
+     * create() doit renseigner :created_at au format 'Y-m-d H:i:s'.
+     */
+    public function testCreateSetsCreatedAt(): void
+    {
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data): bool {
+                return isset($data[':created_at'])
+                    && (bool) \DateTime::createFromFormat('Y-m-d H:i:s', $data[':created_at']);
+            }));
+
+        $this->repository->create(1, 'hash', date('Y-m-d H:i:s', time() + 3600));
+    }
+
+
+    // ── findActiveByHash ───────────────────────────────────────────
+
+    /**
+     * findActiveByHash() doit retourner null si aucun token actif ne correspond au hash.
+     */
+    public function testFindActiveByHashReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtOk(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findActiveByHash('hashquinaexistepas'));
+    }
+
+    /**
+     * findActiveByHash() doit retourner la ligne si un token actif correspond au hash.
+     */
+    public function testFindActiveByHashReturnsRowWhenFound(): void
+    {
+        $tokenHash = hash('sha256', 'montokenbrut');
+        $row       = [
+            'id'         => 1,
+            'user_id'    => 42,
+            'token_hash' => $tokenHash,
+            'expires_at' => date('Y-m-d H:i:s', time() + 3600),
+            'used_at'    => null,
+            'created_at' => date('Y-m-d H:i:s'),
+        ];
+
+        $stmt = $this->stmtOk($row);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame($row, $this->repository->findActiveByHash($tokenHash));
+    }
+
+    /**
+     * findActiveByHash() doit inclure AND used_at IS NULL dans le SQL
+     * pour n'obtenir que les tokens non consommés.
+     */
+    public function testFindActiveByHashFiltersOnNullUsedAt(): void
+    {
+        $tokenHash = hash('sha256', 'montokenbrut');
+        $stmt      = $this->stmtOk(false);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('used_at IS NULL'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':token_hash' => $tokenHash]);
+
+        $this->repository->findActiveByHash($tokenHash);
+    }
+
+
+    // ── invalidateByUserId ─────────────────────────────────────────
+
+    /**
+     * invalidateByUserId() doit préparer un UPDATE renseignant :used_at
+     * pour tous les tokens non consommés de l'utilisateur.
+     */
+    public function testInvalidateByUserIdCallsUpdateWithUsedAt(): void
+    {
+        $userId = 42;
+        $stmt   = $this->stmtOk();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('UPDATE password_resets'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data) use ($userId): bool {
+                return $data[':user_id'] === $userId
+                    && isset($data[':used_at'])
+                    && (bool) \DateTime::createFromFormat('Y-m-d H:i:s', $data[':used_at']);
+            }));
+
+        $this->repository->invalidateByUserId($userId);
+    }
+
+    /**
+     * invalidateByUserId() doit inclure AND used_at IS NULL dans le SQL
+     * pour ne cibler que les tokens encore actifs.
+     */
+    public function testInvalidateByUserIdFiltersOnActiveTokens(): void
+    {
+        $stmt = $this->stmtOk();
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('used_at IS NULL'))
+            ->willReturn($stmt);
+
+        $this->repository->invalidateByUserId(1);
+    }
+
+    /**
+     * invalidateByUserId() ne doit pas utiliser DELETE — les tokens
+     * sont invalidés via used_at pour conserver la traçabilité.
+     */
+    public function testInvalidateByUserIdNeverCallsDelete(): void
+    {
+        $stmt = $this->stmtOk();
+        $this->db->method('prepare')
+            ->with($this->stringContains('UPDATE'))
+            ->willReturn($stmt);
+
+        $this->db->expects($this->never())->method('exec');
+
+        $this->repository->invalidateByUserId(1);
+    }
+
+
+
+    // ── consumeActiveToken ────────────────────────────────────────
+
+    /**
+     * consumeActiveToken() doit utiliser UPDATE ... RETURNING pour consommer
+     * et retourner le token en une seule opération atomique.
+     */
+    public function testConsumeActiveTokenUsesAtomicUpdateReturning(): void
+    {
+        $row = ['id' => 1, 'user_id' => 42, 'token_hash' => 'hash', 'used_at' => null];
+        $stmt = $this->stmtOk($row);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->callback(fn (string $sql): bool =>
+                str_contains($sql, 'UPDATE password_resets')
+                && str_contains($sql, 'used_at IS NULL')
+                && str_contains($sql, 'RETURNING *')
+            ))
+            ->willReturn($stmt);
+
+        $result = $this->repository->consumeActiveToken('hash', '2024-01-01 00:00:00');
+
+        $this->assertSame($row, $result);
+    }
+
+    /**
+     * consumeActiveToken() retourne null si aucun token actif ne correspond.
+     */
+    public function testConsumeActiveTokenReturnsNullWhenNoRowMatches(): void
+    {
+        $stmt = $this->stmtOk(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->consumeActiveToken('missing', '2024-01-01 00:00:00'));
+    }
+}
diff --git a/tests/Auth/PasswordResetServiceIntegrationTest.php b/tests/Auth/PasswordResetServiceIntegrationTest.php
new file mode 100644
index 0000000..780b5d1
--- /dev/null
+++ b/tests/Auth/PasswordResetServiceIntegrationTest.php
@@ -0,0 +1,63 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\Exception\InvalidResetTokenException;
+use App\Auth\PasswordResetRepository;
+use App\Auth\PasswordResetService;
+use App\Shared\Database\Migrator;
+use App\Shared\Mail\MailServiceInterface;
+use App\User\User;
+use App\User\UserRepository;
+use PDO;
+use PHPUnit\Framework\TestCase;
+
+final class PasswordResetServiceIntegrationTest extends TestCase
+{
+    private PDO $db;
+    private PasswordResetService $service;
+    private UserRepository $users;
+    private PasswordResetRepository $resets;
+
+    protected function setUp(): void
+    {
+        $this->db = new PDO('sqlite::memory:', options: [
+            PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
+            PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+        ]);
+        $this->db->sqliteCreateFunction('strip_tags', 'strip_tags', 1);
+        Migrator::run($this->db);
+
+        $this->users = new UserRepository($this->db);
+        $this->resets = new PasswordResetRepository($this->db);
+        $mail = new class implements MailServiceInterface {
+            public function send(string $to, string $subject, string $template, array $context = []): void
+            {
+            }
+        };
+
+        $this->service = new PasswordResetService($this->resets, $this->users, $mail, $this->db);
+    }
+
+    public function testResetPasswordConsumesTokenOnlyOnceAndUpdatesPassword(): void
+    {
+        $userId = $this->users->create(new User(0, 'alice', 'alice@example.com', password_hash('ancienpass1', PASSWORD_BCRYPT)));
+        $tokenRaw = 'token-brut-integration';
+        $tokenHash = hash('sha256', $tokenRaw);
+        $this->resets->create($userId, $tokenHash, date('Y-m-d H:i:s', time() + 3600));
+
+        $this->service->resetPassword($tokenRaw, 'nouveaupass1');
+
+        $user = $this->users->findById($userId);
+        self::assertNotNull($user);
+        self::assertTrue(password_verify('nouveaupass1', $user->getPasswordHash()));
+
+        $row = $this->db->query("SELECT used_at FROM password_resets WHERE token_hash = '{$tokenHash}'")->fetch();
+        self::assertIsArray($row);
+        self::assertNotEmpty($row['used_at']);
+
+        $this->expectException(InvalidResetTokenException::class);
+        $this->service->resetPassword($tokenRaw, 'encoreplusfort1');
+    }
+}
diff --git a/tests/Auth/PasswordResetServiceTest.php b/tests/Auth/PasswordResetServiceTest.php
new file mode 100644
index 0000000..366193a
--- /dev/null
+++ b/tests/Auth/PasswordResetServiceTest.php
@@ -0,0 +1,316 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Auth;
+
+use App\Auth\Exception\InvalidResetTokenException;
+use App\Auth\PasswordResetRepositoryInterface;
+use App\Auth\PasswordResetService;
+use App\Shared\Mail\MailServiceInterface;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use App\User\UserRepositoryInterface;
+use PDO;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour PasswordResetService.
+ *
+ * Vérifie la génération de token, la validation et la réinitialisation
+ * du mot de passe. Les dépendances sont mockées via leurs interfaces.
+ */
+final class PasswordResetServiceTest extends TestCase
+{
+    /** @var PasswordResetRepositoryInterface&MockObject */
+    private PasswordResetRepositoryInterface $resetRepository;
+
+    /** @var UserRepositoryInterface&MockObject */
+    private UserRepositoryInterface $userRepository;
+
+    /** @var MailServiceInterface&MockObject */
+    private MailServiceInterface $mailService;
+
+    private PasswordResetService $service;
+
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    protected function setUp(): void
+    {
+        $this->resetRepository = $this->createMock(PasswordResetRepositoryInterface::class);
+        $this->userRepository  = $this->createMock(UserRepositoryInterface::class);
+        $this->mailService     = $this->createMock(MailServiceInterface::class);
+        $this->db              = $this->createMock(PDO::class);
+
+        $this->service = new PasswordResetService(
+            $this->resetRepository,
+            $this->userRepository,
+            $this->mailService,
+            $this->db,
+        );
+    }
+
+
+    // ── requestReset ───────────────────────────────────────────────
+
+    /**
+     * requestReset() avec un email inconnu ne doit ni envoyer d'email
+     * ni lever d'exception (protection contre l'énumération d'emails).
+     */
+    public function testRequestResetUnknownEmailReturnsSilently(): void
+    {
+        $this->userRepository->method('findByEmail')->willReturn(null);
+        $this->mailService->expects($this->never())->method('send');
+        $this->resetRepository->expects($this->never())->method('create');
+
+        $this->service->requestReset('inconnu@example.com', 'https://blog.exemple.com');
+    }
+
+    /**
+     * requestReset() doit invalider les tokens précédents avant d'en créer un nouveau.
+     */
+    public function testRequestResetInvalidatesPreviousTokens(): void
+    {
+        $user = $this->makeUser();
+
+        $this->userRepository->method('findByEmail')->willReturn($user);
+        $this->resetRepository->expects($this->once())
+            ->method('invalidateByUserId')
+            ->with($user->getId());
+        $this->resetRepository->method('create');
+        $this->mailService->method('send');
+
+        $this->service->requestReset('alice@example.com', 'https://blog.exemple.com');
+    }
+
+    /**
+     * requestReset() doit persister un nouveau token en base.
+     */
+    public function testRequestResetCreatesTokenInDatabase(): void
+    {
+        $user = $this->makeUser();
+
+        $this->userRepository->method('findByEmail')->willReturn($user);
+        $this->resetRepository->method('invalidateByUserId');
+        $this->resetRepository->expects($this->once())
+            ->method('create')
+            ->with($user->getId(), $this->isType('string'), $this->isType('string'));
+        $this->mailService->method('send');
+
+        $this->service->requestReset('alice@example.com', 'https://blog.exemple.com');
+    }
+
+    /**
+     * requestReset() doit envoyer un email avec le bon destinataire et template.
+     */
+    public function testRequestResetSendsEmailWithCorrectAddress(): void
+    {
+        $user = $this->makeUser();
+
+        $this->userRepository->method('findByEmail')->willReturn($user);
+        $this->resetRepository->method('invalidateByUserId');
+        $this->resetRepository->method('create');
+
+        $this->mailService->expects($this->once())
+            ->method('send')
+            ->with(
+                'alice@example.com',
+                $this->isType('string'),
+                'emails/password-reset.twig',
+                $this->isType('array'),
+            );
+
+        $this->service->requestReset('alice@example.com', 'https://blog.exemple.com');
+    }
+
+    /**
+     * L'URL de réinitialisation dans le contexte de l'email doit contenir le token brut.
+     */
+    public function testRequestResetUrlContainsToken(): void
+    {
+        $user = $this->makeUser();
+
+        $this->userRepository->method('findByEmail')->willReturn($user);
+        $this->resetRepository->method('invalidateByUserId');
+        $this->resetRepository->method('create');
+
+        $this->mailService->expects($this->once())
+            ->method('send')
+            ->with(
+                $this->anything(),
+                $this->anything(),
+                $this->anything(),
+                $this->callback(function (array $context): bool {
+                    return isset($context['resetUrl'])
+                        && str_contains($context['resetUrl'], '/password/reset?token=');
+                }),
+            );
+
+        $this->service->requestReset('alice@example.com', 'https://blog.exemple.com');
+    }
+
+
+    // ── validateToken ──────────────────────────────────────────────
+
+    /**
+     * validateToken() avec un token inexistant doit retourner null.
+     */
+    public function testValidateTokenMissingToken(): void
+    {
+        $this->resetRepository->method('findActiveByHash')->willReturn(null);
+
+        $result = $this->service->validateToken('tokeninexistant');
+
+        $this->assertNull($result);
+    }
+
+    /**
+     * validateToken() avec un token expiré doit retourner null.
+     */
+    public function testValidateTokenExpiredToken(): void
+    {
+        $tokenRaw  = 'montokenbrut';
+        $tokenHash = hash('sha256', $tokenRaw);
+
+        $this->resetRepository->method('findActiveByHash')->with($tokenHash)->willReturn([
+            'user_id'    => 1,
+            'token_hash' => $tokenHash,
+            'expires_at' => date('Y-m-d H:i:s', time() - 3600),
+            'used_at'    => null,
+        ]);
+
+        $result = $this->service->validateToken($tokenRaw);
+
+        $this->assertNull($result);
+    }
+
+    /**
+     * validateToken() avec un token valide doit retourner l'utilisateur associé.
+     */
+    public function testValidateTokenValidToken(): void
+    {
+        $user      = $this->makeUser();
+        $tokenRaw  = 'montokenbrut';
+        $tokenHash = hash('sha256', $tokenRaw);
+
+        $this->resetRepository->method('findActiveByHash')->with($tokenHash)->willReturn([
+            'user_id'    => $user->getId(),
+            'token_hash' => $tokenHash,
+            'expires_at' => date('Y-m-d H:i:s', time() + 3600),
+            'used_at'    => null,
+        ]);
+        $this->userRepository->method('findById')->with($user->getId())->willReturn($user);
+
+        $result = $this->service->validateToken($tokenRaw);
+
+        $this->assertSame($user, $result);
+    }
+
+
+    // ── resetPassword ──────────────────────────────────────────────
+
+    /**
+     * resetPassword() avec un token invalide doit lever une InvalidArgumentException.
+     */
+    /**
+     * validateToken() doit retourner null si le token est valide mais l'utilisateur a été supprimé.
+     */
+    public function testValidateTokenDeletedUserReturnsNull(): void
+    {
+        $row = [
+            'user_id'    => 999,
+            'expires_at' => date('Y-m-d H:i:s', time() + 3600),
+            'used_at'    => null,
+        ];
+
+        $this->resetRepository->method('findActiveByHash')->willReturn($row);
+        $this->userRepository->method('findById')->with(999)->willReturn(null);
+
+        $result = $this->service->validateToken('token-valide-mais-user-supprime');
+
+        $this->assertNull($result);
+    }
+
+    public function testResetPasswordInvalidToken(): void
+    {
+        $this->db->method('beginTransaction')->willReturn(true);
+        $this->db->method('inTransaction')->willReturn(true);
+        $this->db->expects($this->once())->method('rollBack');
+        $this->resetRepository->method('consumeActiveToken')->willReturn(null);
+
+        $this->expectException(InvalidResetTokenException::class);
+        $this->expectExceptionMessageMatches('/invalide ou a expiré/');
+
+        $this->service->resetPassword('tokeninvalide', 'nouveaumdp1');
+    }
+
+    /**
+     * resetPassword() avec un mot de passe trop court doit lever WeakPasswordException.
+     */
+    public function testResetPasswordTooShortPasswordThrowsWeakPasswordException(): void
+    {
+        $user      = $this->makeUser();
+        $tokenRaw  = 'montokenbrut';
+        $tokenHash = hash('sha256', $tokenRaw);
+
+        $this->resetRepository->method('findActiveByHash')->willReturn([
+            'user_id'    => $user->getId(),
+            'token_hash' => $tokenHash,
+            'expires_at' => date('Y-m-d H:i:s', time() + 3600),
+            'used_at'    => null,
+        ]);
+        $this->userRepository->method('findById')->willReturn($user);
+
+        $this->expectException(WeakPasswordException::class);
+
+        $this->service->resetPassword($tokenRaw, '1234567');
+    }
+
+    /**
+     * resetPassword() doit mettre à jour le mot de passe et marquer le token comme consommé.
+     */
+    public function testResetPasswordUpdatesPasswordAndConsumesToken(): void
+    {
+        $user      = $this->makeUser();
+        $tokenRaw  = 'montokenbrut';
+        $tokenHash = hash('sha256', $tokenRaw);
+
+        $this->db->method('beginTransaction')->willReturn(true);
+        $this->db->method('inTransaction')->willReturn(true);
+        $this->db->expects($this->once())->method('commit');
+
+        $this->resetRepository->expects($this->once())
+            ->method('consumeActiveToken')
+            ->with($tokenHash, $this->isType('string'))
+            ->willReturn([
+                'user_id'    => $user->getId(),
+                'token_hash' => $tokenHash,
+                'expires_at' => date('Y-m-d H:i:s', time() + 3600),
+                'used_at'    => null,
+            ]);
+        $this->userRepository->method('findById')->willReturn($user);
+
+        $this->userRepository->expects($this->once())
+            ->method('updatePassword')
+            ->with($user->getId(), $this->callback('is_string'));
+
+        $this->service->resetPassword($tokenRaw, 'nouveaumdp1');
+    }
+
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un utilisateur de test standard.
+     */
+    private function makeUser(): User
+    {
+        return new User(
+            1,
+            'alice',
+            'alice@example.com',
+            password_hash('motdepasse1', PASSWORD_BCRYPT),
+        );
+    }
+}
diff --git a/tests/Category/CategoryControllerTest.php b/tests/Category/CategoryControllerTest.php
new file mode 100644
index 0000000..e52dde4
--- /dev/null
+++ b/tests/Category/CategoryControllerTest.php
@@ -0,0 +1,198 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Category;
+
+use App\Category\Category;
+use App\Category\CategoryController;
+use App\Category\CategoryServiceInterface;
+use App\Shared\Http\FlashServiceInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour CategoryController.
+ *
+ * Couvre index(), create() et delete() :
+ * rendu de la liste, création réussie, erreur de création,
+ * suppression avec catégorie introuvable, succès et erreur métier.
+ */
+final class CategoryControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var CategoryServiceInterface&MockObject */
+    private CategoryServiceInterface $categoryService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    private CategoryController $controller;
+
+    protected function setUp(): void
+    {
+        $this->view            = $this->makeTwigMock();
+        $this->categoryService = $this->createMock(CategoryServiceInterface::class);
+        $this->flash           = $this->createMock(FlashServiceInterface::class);
+
+        $this->controller = new CategoryController(
+            $this->view,
+            $this->categoryService,
+            $this->flash,
+        );
+    }
+
+    // ── index ────────────────────────────────────────────────────────
+
+    /**
+     * index() doit rendre la vue avec la liste des catégories.
+     */
+    public function testIndexRendersWithCategories(): void
+    {
+        $this->categoryService->method('findAll')->willReturn([]);
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'admin/categories/index.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->index($this->makeGet('/admin/categories'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── create ───────────────────────────────────────────────────────
+
+    /**
+     * create() doit flasher un succès et rediriger en cas de création réussie.
+     */
+    public function testCreateRedirectsWithSuccessFlash(): void
+    {
+        $this->categoryService->method('create')->willReturn(1);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('category_success', $this->stringContains('PHP'));
+
+        $req = $this->makePost('/admin/categories/create', ['name' => 'PHP']);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/categories');
+    }
+
+    /**
+     * create() doit flasher une erreur si le service lève une InvalidArgumentException.
+     */
+    public function testCreateRedirectsWithErrorOnInvalidArgument(): void
+    {
+        $this->categoryService->method('create')
+            ->willThrowException(new \InvalidArgumentException('Catégorie déjà existante'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('category_error', 'Catégorie déjà existante');
+
+        $req = $this->makePost('/admin/categories/create', ['name' => 'Duplicate']);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/categories');
+    }
+
+    /**
+     * create() doit flasher une erreur générique pour toute autre exception.
+     */
+    public function testCreateRedirectsWithGenericErrorOnUnexpectedException(): void
+    {
+        $this->categoryService->method('create')
+            ->willThrowException(new \RuntimeException('DB error'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('category_error', $this->stringContains('inattendue'));
+
+        $req = $this->makePost('/admin/categories/create', ['name' => 'PHP']);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/categories');
+    }
+
+    // ── delete ───────────────────────────────────────────────────────
+
+    /**
+     * delete() doit flasher une erreur et rediriger si la catégorie est introuvable.
+     */
+    public function testDeleteRedirectsWithErrorWhenNotFound(): void
+    {
+        $this->categoryService->method('findById')->willReturn(null);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('category_error', 'Catégorie introuvable');
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/categories/delete/99'),
+            $this->makeResponse(),
+            ['id' => '99'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/categories');
+    }
+
+    /**
+     * delete() doit flasher un succès et rediriger en cas de suppression réussie.
+     */
+    public function testDeleteRedirectsWithSuccessFlash(): void
+    {
+        $category = new Category(3, 'PHP', 'php');
+        $this->categoryService->method('findById')->willReturn($category);
+        $this->flash->expects($this->once())->method('set')
+            ->with('category_success', $this->stringContains('PHP'));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/categories/delete/3'),
+            $this->makeResponse(),
+            ['id' => '3'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/categories');
+    }
+
+    /**
+     * delete() doit flasher une erreur si le service refuse la suppression
+     * (ex: des articles sont rattachés à la catégorie).
+     */
+    public function testDeleteRedirectsWithErrorWhenServiceRefuses(): void
+    {
+        $category = new Category(3, 'PHP', 'php');
+        $this->categoryService->method('findById')->willReturn($category);
+        $this->categoryService->method('delete')
+            ->willThrowException(new \InvalidArgumentException('Des articles utilisent cette catégorie'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('category_error', 'Des articles utilisent cette catégorie');
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/categories/delete/3'),
+            $this->makeResponse(),
+            ['id' => '3'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/categories');
+    }
+
+    /**
+     * delete() doit passer l'identifiant de route au service findById().
+     */
+    public function testDeletePassesCorrectIdToService(): void
+    {
+        $this->categoryService->expects($this->once())
+            ->method('findById')
+            ->with(7)
+            ->willReturn(null);
+
+        $this->flash->method('set');
+
+        $this->controller->delete(
+            $this->makePost('/admin/categories/delete/7'),
+            $this->makeResponse(),
+            ['id' => '7'],
+        );
+    }
+}
diff --git a/tests/Category/CategoryModelTest.php b/tests/Category/CategoryModelTest.php
new file mode 100644
index 0000000..45dfacc
--- /dev/null
+++ b/tests/Category/CategoryModelTest.php
@@ -0,0 +1,48 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Category;
+
+use App\Category\Category;
+use PHPUnit\Framework\TestCase;
+
+final class CategoryModelTest extends TestCase
+{
+    public function testConstructAndGettersExposeCategoryData(): void
+    {
+        $category = new Category(4, 'PHP', 'php');
+
+        self::assertSame(4, $category->getId());
+        self::assertSame('PHP', $category->getName());
+        self::assertSame('php', $category->getSlug());
+    }
+
+    public function testFromArrayHydratesCategory(): void
+    {
+        $category = Category::fromArray([
+            'id' => '6',
+            'name' => 'Tests',
+            'slug' => 'tests',
+        ]);
+
+        self::assertSame(6, $category->getId());
+        self::assertSame('Tests', $category->getName());
+        self::assertSame('tests', $category->getSlug());
+    }
+
+    public function testValidationRejectsEmptyName(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('Le nom de la catégorie ne peut pas être vide');
+
+        new Category(1, '', 'slug');
+    }
+
+    public function testValidationRejectsTooLongName(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('Le nom de la catégorie ne peut pas dépasser 100 caractères');
+
+        new Category(1, str_repeat('a', 101), 'slug');
+    }
+}
diff --git a/tests/Category/CategoryRepositoryTest.php b/tests/Category/CategoryRepositoryTest.php
new file mode 100644
index 0000000..ec44ac8
--- /dev/null
+++ b/tests/Category/CategoryRepositoryTest.php
@@ -0,0 +1,380 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Category;
+
+use App\Category\Category;
+use App\Category\CategoryRepository;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour CategoryRepository.
+ *
+ * Vérifie que chaque méthode du dépôt construit le bon SQL,
+ * lie les bons paramètres et retourne les bonnes valeurs.
+ *
+ * PDO et PDOStatement sont mockés pour isoler complètement
+ * le dépôt de la base de données.
+ */
+final class CategoryRepositoryTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    private CategoryRepository $repository;
+
+    /**
+     * Données représentant une ligne catégorie en base de données.
+     *
+     * @var array<string, mixed>
+     */
+    private array $rowPhp;
+
+    protected function setUp(): void
+    {
+        $this->db         = $this->createMock(PDO::class);
+        $this->repository = new CategoryRepository($this->db);
+
+        $this->rowPhp = [
+            'id'   => 1,
+            'name' => 'PHP',
+            'slug' => 'php',
+        ];
+    }
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    private function stmtForRead(array $rows = [], array|false $row = false): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchAll')->willReturn($rows);
+        $stmt->method('fetch')->willReturn($row);
+
+        return $stmt;
+    }
+
+    private function stmtForScalar(mixed $value): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchColumn')->willReturn($value);
+
+        return $stmt;
+    }
+
+    private function stmtForWrite(int $rowCount = 1): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('rowCount')->willReturn($rowCount);
+
+        return $stmt;
+    }
+
+
+    // ── findAll ────────────────────────────────────────────────────
+
+    /**
+     * findAll() retourne un tableau vide si aucune catégorie n'existe.
+     */
+    public function testFindAllReturnsEmptyArrayWhenNone(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findAll());
+    }
+
+    /**
+     * findAll() retourne des instances Category hydratées.
+     */
+    public function testFindAllReturnsCategoryInstances(): void
+    {
+        $stmt = $this->stmtForRead([$this->rowPhp]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $result = $this->repository->findAll();
+
+        $this->assertCount(1, $result);
+        $this->assertInstanceOf(Category::class, $result[0]);
+        $this->assertSame('PHP', $result[0]->getName());
+        $this->assertSame('php', $result[0]->getSlug());
+    }
+
+    /**
+     * findAll() interroge la table 'categories' triée par name ASC.
+     */
+    public function testFindAllQueriesWithAlphabeticOrder(): void
+    {
+        $stmt = $this->stmtForRead([]);
+
+        $this->db->expects($this->once())
+            ->method('query')
+            ->with($this->logicalAnd(
+                $this->stringContains('categories'),
+                $this->stringContains('name ASC'),
+            ))
+            ->willReturn($stmt);
+
+        $this->repository->findAll();
+    }
+
+
+    // ── findById ───────────────────────────────────────────────────
+
+    /**
+     * findById() retourne null si la catégorie est absente.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findById(99));
+    }
+
+    /**
+     * findById() retourne une instance Category si la catégorie existe.
+     */
+    public function testFindByIdReturnsCategoryWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowPhp);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findById(1);
+
+        $this->assertInstanceOf(Category::class, $result);
+        $this->assertSame(1, $result->getId());
+        $this->assertSame('PHP', $result->getName());
+    }
+
+    /**
+     * findById() exécute avec le bon identifiant.
+     */
+    public function testFindByIdQueriesWithCorrectId(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 42]);
+
+        $this->repository->findById(42);
+    }
+
+
+    // ── findBySlug ─────────────────────────────────────────────────
+
+    /**
+     * findBySlug() retourne null si le slug est absent.
+     */
+    public function testFindBySlugReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findBySlug('inconnu'));
+    }
+
+    /**
+     * findBySlug() retourne une instance Category si le slug existe.
+     */
+    public function testFindBySlugReturnsCategoryWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowPhp);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findBySlug('php');
+
+        $this->assertInstanceOf(Category::class, $result);
+        $this->assertSame('php', $result->getSlug());
+    }
+
+    /**
+     * findBySlug() exécute avec le bon slug.
+     */
+    public function testFindBySlugQueriesWithCorrectSlug(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':slug' => 'php']);
+
+        $this->repository->findBySlug('php');
+    }
+
+
+    // ── create ─────────────────────────────────────────────────────
+
+    /**
+     * create() prépare un INSERT avec le nom et le slug de la catégorie.
+     */
+    public function testCreateCallsInsertWithNameAndSlug(): void
+    {
+        $category = Category::fromArray($this->rowPhp);
+        $stmt     = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('INSERT INTO categories'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $data): bool =>
+                $data[':name'] === $category->getName()
+                    && $data[':slug'] === $category->getSlug()
+            ));
+
+        $this->db->method('lastInsertId')->willReturn('1');
+
+        $this->repository->create($category);
+    }
+
+    /**
+     * create() retourne l'identifiant généré par la base de données.
+     */
+    public function testCreateReturnsGeneratedId(): void
+    {
+        $category = Category::fromArray($this->rowPhp);
+        $stmt     = $this->stmtForWrite();
+        $this->db->method('prepare')->willReturn($stmt);
+        $this->db->method('lastInsertId')->willReturn('7');
+
+        $this->assertSame(7, $this->repository->create($category));
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() prépare un DELETE avec le bon identifiant.
+     */
+    public function testDeleteCallsDeleteWithCorrectId(): void
+    {
+        $stmt = $this->stmtForWrite(1);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('DELETE FROM categories'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 3]);
+
+        $this->repository->delete(3);
+    }
+
+    /**
+     * delete() retourne le nombre de lignes supprimées.
+     */
+    public function testDeleteReturnsDeletedRowCount(): void
+    {
+        $stmt = $this->stmtForWrite(1);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(1, $this->repository->delete(3));
+    }
+
+    /**
+     * delete() retourne 0 si la catégorie n'existait plus.
+     */
+    public function testDeleteReturnsZeroWhenNotFound(): void
+    {
+        $stmt = $this->stmtForWrite(0);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(0, $this->repository->delete(99));
+    }
+
+
+    // ── nameExists ─────────────────────────────────────────────────
+
+    /**
+     * nameExists() retourne true si le nom existe déjà.
+     */
+    public function testNameExistsReturnsTrueWhenTaken(): void
+    {
+        $stmt = $this->stmtForScalar(1);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertTrue($this->repository->nameExists('PHP'));
+    }
+
+    /**
+     * nameExists() retourne false si le nom est disponible.
+     */
+    public function testNameExistsReturnsFalseWhenFree(): void
+    {
+        $stmt = $this->stmtForScalar(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertFalse($this->repository->nameExists('Nouveau'));
+    }
+
+    /**
+     * nameExists() exécute avec le bon nom.
+     */
+    public function testNameExistsQueriesWithCorrectName(): void
+    {
+        $stmt = $this->stmtForScalar(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':name' => 'PHP']);
+
+        $this->repository->nameExists('PHP');
+    }
+
+
+    // ── hasPost ────────────────────────────────────────────────────
+
+    /**
+     * hasPost() retourne true si au moins un article référence la catégorie.
+     */
+    public function testHasPostReturnsTrueWhenPostAttached(): void
+    {
+        $stmt = $this->stmtForScalar(1);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertTrue($this->repository->hasPost(1));
+    }
+
+    /**
+     * hasPost() retourne false si aucun article ne référence la catégorie.
+     */
+    public function testHasPostReturnsFalseWhenNoPost(): void
+    {
+        $stmt = $this->stmtForScalar(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertFalse($this->repository->hasPost(1));
+    }
+
+    /**
+     * hasPost() interroge la table 'posts' avec le bon category_id.
+     */
+    public function testHasPostQueriesPostsTableWithCorrectId(): void
+    {
+        $stmt = $this->stmtForScalar(false);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('posts'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 5]);
+
+        $this->repository->hasPost(5);
+    }
+}
diff --git a/tests/Category/CategoryServiceTest.php b/tests/Category/CategoryServiceTest.php
new file mode 100644
index 0000000..cf646e0
--- /dev/null
+++ b/tests/Category/CategoryServiceTest.php
@@ -0,0 +1,188 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Category;
+
+use App\Category\Category;
+use App\Category\CategoryRepositoryInterface;
+use App\Category\CategoryService;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour CategoryService.
+ *
+ * Vérifie la création (génération de slug, unicité du nom, validation du modèle)
+ * et la suppression (blocage si articles rattachés).
+ * Le repository est remplacé par un mock pour isoler le service.
+ */
+final class CategoryServiceTest extends TestCase
+{
+    /** @var CategoryRepositoryInterface&MockObject */
+    private CategoryRepositoryInterface $repository;
+
+    private CategoryService $service;
+
+    protected function setUp(): void
+    {
+        $this->repository = $this->createMock(CategoryRepositoryInterface::class);
+        $this->service    = new CategoryService($this->repository);
+    }
+
+
+    // ── create ─────────────────────────────────────────────────────
+
+    /**
+     * create() doit générer le slug depuis le nom et persister la catégorie.
+     */
+    public function testCreateGeneratesSlugAndPersists(): void
+    {
+        $this->repository->method('nameExists')->willReturn(false);
+        $this->repository->expects($this->once())
+            ->method('create')
+            ->with($this->callback(fn (Category $c) =>
+                $c->getName() === 'Développement web'
+                && $c->getSlug() === 'developpement-web'
+            ))
+            ->willReturn(1);
+
+        $id = $this->service->create('Développement web');
+
+        $this->assertSame(1, $id);
+    }
+
+    /**
+     * create() doit trimmer le nom avant de générer le slug.
+     */
+    public function testCreateTrimsName(): void
+    {
+        $this->repository->method('nameExists')->willReturn(false);
+        $this->repository->expects($this->once())
+            ->method('create')
+            ->with($this->callback(fn (Category $c) => $c->getName() === 'PHP'))
+            ->willReturn(2);
+
+        $this->service->create('  PHP  ');
+    }
+
+    /**
+     * create() doit lever InvalidArgumentException si le slug généré est vide.
+     */
+    public function testCreateNonAsciiNameThrowsException(): void
+    {
+        $this->repository->expects($this->never())->method('create');
+
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('slug URL valide');
+
+        $this->service->create('日本語');
+    }
+
+    /**
+     * create() doit lever InvalidArgumentException si le nom est déjà utilisé.
+     */
+    public function testCreateDuplicateNameThrowsException(): void
+    {
+        $this->repository->method('nameExists')->willReturn(true);
+        $this->repository->expects($this->never())->method('create');
+
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('déjà utilisé');
+
+        $this->service->create('PHP');
+    }
+
+    /**
+     * create() doit lever InvalidArgumentException si le nom est vide.
+     */
+    public function testCreateEmptyNameThrowsException(): void
+    {
+        $this->repository->method('nameExists')->willReturn(false);
+        $this->repository->expects($this->never())->method('create');
+
+        $this->expectException(\InvalidArgumentException::class);
+
+        $this->service->create('');
+    }
+
+    /**
+     * create() doit lever InvalidArgumentException si le nom dépasse 100 caractères.
+     */
+    public function testCreateNameTooLongThrowsException(): void
+    {
+        $longName = str_repeat('a', 101);
+        $this->repository->method('nameExists')->willReturn(false);
+        $this->repository->expects($this->never())->method('create');
+
+        $this->expectException(\InvalidArgumentException::class);
+
+        $this->service->create($longName);
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() doit supprimer la catégorie si elle ne contient aucun article.
+     */
+    public function testDeleteSucceedsWhenNoPosts(): void
+    {
+        $category = new Category(5, 'PHP', 'php');
+
+        $this->repository->method('hasPost')->with(5)->willReturn(false);
+        $this->repository->expects($this->once())->method('delete')->with(5);
+
+        $this->service->delete($category);
+    }
+
+    /**
+     * delete() doit lever InvalidArgumentException si des articles sont rattachés.
+     */
+    public function testDeleteBlockedWhenPostsAttached(): void
+    {
+        $category = new Category(5, 'PHP', 'php');
+
+        $this->repository->method('hasPost')->with(5)->willReturn(true);
+        $this->repository->expects($this->never())->method('delete');
+
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('contient des articles');
+
+        $this->service->delete($category);
+    }
+
+
+    // ── Lectures déléguées ─────────────────────────────────────────
+
+    /**
+     * findAll() doit déléguer au repository et retourner son résultat.
+     */
+    public function testFindAllDelegatesToRepository(): void
+    {
+        $cats = [new Category(1, 'PHP', 'php'), new Category(2, 'CSS', 'css')];
+        $this->repository->method('findAll')->willReturn($cats);
+
+        $this->assertSame($cats, $this->service->findAll());
+    }
+
+    /**
+     * findById() doit retourner null si la catégorie n'existe pas.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $this->repository->method('findById')->willReturn(null);
+
+        $this->assertNull($this->service->findById(99));
+    }
+
+    /**
+     * findBySlug() doit retourner la catégorie correspondante.
+     */
+    public function testFindBySlugReturnsCategoryWhenFound(): void
+    {
+        $cat = new Category(3, 'PHP', 'php');
+        $this->repository->method('findBySlug')->with('php')->willReturn($cat);
+
+        $this->assertSame($cat, $this->service->findBySlug('php'));
+    }
+}
diff --git a/tests/ControllerTestCase.php b/tests/ControllerTestCase.php
new file mode 100644
index 0000000..c964d15
--- /dev/null
+++ b/tests/ControllerTestCase.php
@@ -0,0 +1,144 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests;
+
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\ResponseInterface as Response;
+use Slim\Psr7\Factory\ServerRequestFactory;
+use Slim\Psr7\Response as SlimResponse;
+
+/**
+ * Classe de base pour les tests de contrôleurs.
+ *
+ * Fournit des helpers pour construire des requêtes PSR-7 sans serveur,
+ * des assertions sur les redirections et les réponses JSON,
+ * ainsi qu'un stub de Twig qui retourne la réponse inchangée.
+ *
+ * Chaque test de contrôleur invoque directement l'action (méthode publique)
+ * sans passer par le routeur Slim — les middlewares sont testés séparément.
+ */
+abstract class ControllerTestCase extends TestCase
+{
+    // ── Factories ────────────────────────────────────────────────────
+
+    /**
+     * Crée une requête GET avec des paramètres de query optionnels.
+     *
+     * @param string               $uri         URI de la requête (ex: '/admin/posts')
+     * @param array<string, mixed> $queryParams Paramètres de query string
+     * @param array<string, mixed> $serverParams Paramètres serveur (ex: REMOTE_ADDR)
+     */
+    protected function makeGet(
+        string $uri = '/',
+        array $queryParams = [],
+        array $serverParams = [],
+    ): \Psr\Http\Message\ServerRequestInterface {
+        $factory = new ServerRequestFactory();
+        $request = $factory->createServerRequest('GET', $uri, $serverParams);
+
+        if ($queryParams !== []) {
+            $request = $request->withQueryParams($queryParams);
+        }
+
+        return $request;
+    }
+
+    /**
+     * Crée une requête POST avec un corps parsé optionnel.
+     *
+     * @param string               $uri         URI de la requête (ex: '/auth/login')
+     * @param array<string, mixed> $body        Corps de la requête (form data)
+     * @param array<string, mixed> $serverParams Paramètres serveur (ex: REMOTE_ADDR)
+     */
+    protected function makePost(
+        string $uri = '/',
+        array $body = [],
+        array $serverParams = [],
+    ): \Psr\Http\Message\ServerRequestInterface {
+        $factory = new ServerRequestFactory();
+        $request = $factory->createServerRequest('POST', $uri, $serverParams);
+
+        if ($body !== []) {
+            $request = $request->withParsedBody($body);
+        }
+
+        return $request;
+    }
+
+    /**
+     * Crée une réponse PSR-7 vide (status 200).
+     */
+    protected function makeResponse(): SlimResponse
+    {
+        return new SlimResponse();
+    }
+
+    /**
+     * Crée un mock de Twig dont render() retourne la réponse reçue en premier argument.
+     *
+     * Cela permet aux tests de contrôleurs qui appellent $this->view->render()
+     * de recevoir une réponse 200 sans instancier un environnement Twig réel.
+     *
+     * @return \Slim\Views\Twig&\PHPUnit\Framework\MockObject\MockObject
+     */
+    protected function makeTwigMock(): \Slim\Views\Twig
+    {
+        $twig = $this->createMock(\Slim\Views\Twig::class);
+        $twig->method('render')->willReturnArgument(0);
+
+        return $twig;
+    }
+
+    // ── Assertions ───────────────────────────────────────────────────
+
+    /**
+     * Vérifie qu'une réponse est une redirection vers l'URL attendue.
+     */
+    protected function assertRedirectTo(Response $res, string $expectedLocation): void
+    {
+        $this->assertSame(302, $res->getStatusCode(), 'Le code HTTP devrait être 302');
+        $this->assertSame(
+            $expectedLocation,
+            $res->getHeaderLine('Location'),
+            "La redirection devrait pointer vers {$expectedLocation}",
+        );
+    }
+
+    /**
+     * Vérifie le code HTTP d'une réponse.
+     */
+    protected function assertStatus(Response $res, int $expectedStatus): void
+    {
+        $this->assertSame($expectedStatus, $res->getStatusCode());
+    }
+
+    /**
+     * Vérifie que le corps de la réponse est du JSON contenant les clés attendues.
+     *
+     * @param array<string, mixed> $expectedSubset Sous-ensemble de clés/valeurs attendues
+     */
+    protected function assertJsonContains(Response $res, array $expectedSubset): void
+    {
+        $body    = (string) $res->getBody();
+        $decoded = json_decode($body, true);
+
+        $this->assertIsArray($decoded, 'Le corps de la réponse devrait être du JSON valide');
+
+        foreach ($expectedSubset as $key => $value) {
+            $this->assertArrayHasKey($key, $decoded, "La clé JSON '{$key}' devrait être présente");
+            $this->assertSame($value, $decoded[$key], "La valeur JSON de '{$key}' est incorrecte");
+        }
+    }
+
+    /**
+     * Vérifie que le Content-Type de la réponse est application/json.
+     */
+    protected function assertJsonContentType(Response $res): void
+    {
+        $this->assertStringContainsString(
+            'application/json',
+            $res->getHeaderLine('Content-Type'),
+        );
+    }
+}
diff --git a/tests/Media/MediaControllerTest.php b/tests/Media/MediaControllerTest.php
new file mode 100644
index 0000000..9ce7b4d
--- /dev/null
+++ b/tests/Media/MediaControllerTest.php
@@ -0,0 +1,311 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Exception\FileTooLargeException;
+use App\Media\Exception\InvalidMimeTypeException;
+use App\Media\Exception\StorageException;
+use App\Media\Media;
+use App\Media\MediaController;
+use App\Media\MediaServiceInterface;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use Psr\Http\Message\UploadedFileInterface;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour MediaController.
+ *
+ * Couvre index(), upload() et delete() :
+ *  - index : filtrage admin vs utilisateur ordinaire
+ *  - upload : absence de fichier, erreur PSR-7, exceptions métier (taille, MIME, stockage), succès
+ *  - delete : introuvable, non-propriétaire, succès propriétaire, succès admin
+ */
+final class MediaControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var MediaServiceInterface&MockObject */
+    private MediaServiceInterface $mediaService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    private MediaController $controller;
+
+    protected function setUp(): void
+    {
+        $this->view           = $this->makeTwigMock();
+        $this->mediaService   = $this->createMock(MediaServiceInterface::class);
+        $this->flash          = $this->createMock(FlashServiceInterface::class);
+        $this->sessionManager = $this->createMock(SessionManagerInterface::class);
+
+        $this->controller = new MediaController(
+            $this->view,
+            $this->mediaService,
+            $this->flash,
+            $this->sessionManager,
+        );
+    }
+
+    // ── index ────────────────────────────────────────────────────────
+
+    /**
+     * index() doit appeler findAll() pour un admin et rendre la vue.
+     */
+    public function testIndexShowsAllMediaForAdmin(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+
+        $this->mediaService->expects($this->once())->method('findAll')->willReturn([]);
+        $this->mediaService->expects($this->never())->method('findByUserId');
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'admin/media/index.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->index($this->makeGet('/admin/media'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    /**
+     * index() doit appeler findAll() pour un éditeur.
+     */
+    public function testIndexShowsAllMediaForEditor(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(true);
+
+        $this->mediaService->expects($this->once())->method('findAll')->willReturn([]);
+        $this->mediaService->expects($this->never())->method('findByUserId');
+
+        $res = $this->controller->index($this->makeGet('/admin/media'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    /**
+     * index() doit appeler findByUserId() pour un utilisateur ordinaire.
+     */
+    public function testIndexShowsOwnMediaForRegularUser(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(42);
+
+        $this->mediaService->expects($this->once())->method('findByUserId')->with(42)->willReturn([]);
+        $this->mediaService->expects($this->never())->method('findAll');
+
+        $this->controller->index($this->makeGet('/admin/media'), $this->makeResponse());
+    }
+
+    // ── upload ───────────────────────────────────────────────────────
+
+    /**
+     * upload() doit retourner 400 JSON si aucun fichier n'est dans la requête.
+     */
+    public function testUploadReturns400WhenNoFilePresent(): void
+    {
+        $req = $this->makePost('/admin/media/upload');
+        $res = $this->controller->upload($req, $this->makeResponse());
+
+        $this->assertStatus($res, 400);
+        $this->assertJsonContentType($res);
+        $this->assertJsonContains($res, ['error' => "Aucun fichier reçu ou erreur d'upload"]);
+    }
+
+    /**
+     * upload() doit retourner 400 JSON si le fichier PSR-7 signale une erreur d'upload.
+     */
+    public function testUploadReturns400WhenFileHasUploadError(): void
+    {
+        /** @var UploadedFileInterface&MockObject $file */
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getError')->willReturn(UPLOAD_ERR_INI_SIZE);
+
+        $req = $this->makePost('/admin/media/upload')->withUploadedFiles(['image' => $file]);
+        $res = $this->controller->upload($req, $this->makeResponse());
+
+        $this->assertStatus($res, 400);
+        $this->assertJsonContains($res, ['error' => "Aucun fichier reçu ou erreur d'upload"]);
+    }
+
+    /**
+     * upload() doit retourner 413 JSON si le fichier dépasse la taille autorisée.
+     */
+    public function testUploadReturns413OnFileTooLarge(): void
+    {
+        $file = $this->makeValidUploadedFile();
+        $this->mediaService->method('store')
+            ->willThrowException(new FileTooLargeException(2 * 1024 * 1024));
+
+        $req = $this->makePost('/admin/media/upload')->withUploadedFiles(['image' => $file]);
+        $res = $this->controller->upload($req, $this->makeResponse());
+
+        $this->assertStatus($res, 413);
+        $this->assertJsonContentType($res);
+    }
+
+    /**
+     * upload() doit retourner 415 JSON si le type MIME n'est pas autorisé.
+     */
+    public function testUploadReturns415OnInvalidMimeType(): void
+    {
+        $file = $this->makeValidUploadedFile();
+        $this->mediaService->method('store')
+            ->willThrowException(new InvalidMimeTypeException('application/pdf'));
+
+        $req = $this->makePost('/admin/media/upload')->withUploadedFiles(['image' => $file]);
+        $res = $this->controller->upload($req, $this->makeResponse());
+
+        $this->assertStatus($res, 415);
+        $this->assertJsonContentType($res);
+    }
+
+    /**
+     * upload() doit retourner 500 JSON si une erreur de stockage survient.
+     */
+    public function testUploadReturns500OnStorageException(): void
+    {
+        $file = $this->makeValidUploadedFile();
+        $this->mediaService->method('store')
+            ->willThrowException(new StorageException('Disk full'));
+
+        $req = $this->makePost('/admin/media/upload')->withUploadedFiles(['image' => $file]);
+        $res = $this->controller->upload($req, $this->makeResponse());
+
+        $this->assertStatus($res, 500);
+        $this->assertJsonContentType($res);
+    }
+
+    /**
+     * upload() doit retourner 200 JSON avec l'URL du fichier en cas de succès.
+     */
+    public function testUploadReturns200JsonWithUrlOnSuccess(): void
+    {
+        $file = $this->makeValidUploadedFile();
+        $this->sessionManager->method('getUserId')->willReturn(1);
+        $this->mediaService->method('store')->willReturn('/media/abc123.webp');
+
+        $req = $this->makePost('/admin/media/upload')->withUploadedFiles(['image' => $file]);
+        $res = $this->controller->upload($req, $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+        $this->assertJsonContentType($res);
+        $this->assertJsonContains($res, ['success' => true, 'file' => '/media/abc123.webp']);
+    }
+
+    // ── delete ───────────────────────────────────────────────────────
+
+    /**
+     * delete() doit flasher une erreur et rediriger si le média est introuvable.
+     */
+    public function testDeleteRedirectsWithErrorWhenMediaNotFound(): void
+    {
+        $this->mediaService->method('findById')->willReturn(null);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('media_error', 'Fichier introuvable');
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/media/delete/99'),
+            $this->makeResponse(),
+            ['id' => '99'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/media');
+    }
+
+    /**
+     * delete() doit flasher une erreur si l'utilisateur n'est pas propriétaire du média.
+     */
+    public function testDeleteRedirectsWithErrorWhenNotOwner(): void
+    {
+        $media = new Media(5, 'file.webp', '/media/file.webp', 'abc', 10);
+        $this->mediaService->method('findById')->willReturn($media);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(99); // autre utilisateur
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('media_error', $this->stringContains('autorisé'));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/media/delete/5'),
+            $this->makeResponse(),
+            ['id' => '5'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/media');
+    }
+
+    /**
+     * delete() doit supprimer le média et rediriger avec succès si l'utilisateur est propriétaire.
+     */
+    public function testDeleteSucceedsForOwner(): void
+    {
+        $media = new Media(5, 'file.webp', '/media/file.webp', 'abc', 42);
+        $this->mediaService->method('findById')->willReturn($media);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(42);
+
+        $this->mediaService->expects($this->once())->method('delete')->with($media);
+        $this->flash->expects($this->once())->method('set')
+            ->with('media_success', 'Fichier supprimé');
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/media/delete/5'),
+            $this->makeResponse(),
+            ['id' => '5'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/media');
+    }
+
+    /**
+     * delete() doit permettre la suppression à un admin même s'il n'est pas propriétaire.
+     */
+    public function testDeleteSucceedsForAdmin(): void
+    {
+        $media = new Media(5, 'file.webp', '/media/file.webp', 'abc', 10);
+        $this->mediaService->method('findById')->willReturn($media);
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(1); // admin, pas propriétaire
+
+        $this->mediaService->expects($this->once())->method('delete');
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/media/delete/5'),
+            $this->makeResponse(),
+            ['id' => '5'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/media');
+    }
+
+    // ── Helpers ──────────────────────────────────────────────────────
+
+    /**
+     * Crée un mock d'UploadedFileInterface sans erreur d'upload.
+     *
+     * @return UploadedFileInterface&MockObject
+     */
+    private function makeValidUploadedFile(): UploadedFileInterface
+    {
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getError')->willReturn(UPLOAD_ERR_OK);
+
+        return $file;
+    }
+}
diff --git a/tests/Media/MediaModelTest.php b/tests/Media/MediaModelTest.php
new file mode 100644
index 0000000..dd4e33a
--- /dev/null
+++ b/tests/Media/MediaModelTest.php
@@ -0,0 +1,53 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Media;
+use DateTime;
+use PHPUnit\Framework\TestCase;
+
+final class MediaModelTest extends TestCase
+{
+    public function testConstructAndGettersExposeMediaData(): void
+    {
+        $createdAt = new DateTime('2026-03-01 10:00:00');
+        $media = new Media(8, 'file.webp', '/media/file.webp', 'abc123', 12, $createdAt);
+
+        self::assertSame(8, $media->getId());
+        self::assertSame('file.webp', $media->getFilename());
+        self::assertSame('/media/file.webp', $media->getUrl());
+        self::assertSame('abc123', $media->getHash());
+        self::assertSame(12, $media->getUserId());
+        self::assertSame($createdAt, $media->getCreatedAt());
+    }
+
+    public function testFromArrayHydratesMedia(): void
+    {
+        $media = Media::fromArray([
+            'id' => '9',
+            'filename' => 'stored.webp',
+            'url' => '/media/stored.webp',
+            'hash' => 'hash-9',
+            'user_id' => '3',
+            'created_at' => '2026-03-02 12:30:00',
+        ]);
+
+        self::assertSame(9, $media->getId());
+        self::assertSame('stored.webp', $media->getFilename());
+        self::assertSame('/media/stored.webp', $media->getUrl());
+        self::assertSame('hash-9', $media->getHash());
+        self::assertSame(3, $media->getUserId());
+        self::assertSame('2026-03-02 12:30:00', $media->getCreatedAt()->format('Y-m-d H:i:s'));
+    }
+
+    public function testCreatedAtDefaultsToNowWhenMissing(): void
+    {
+        $before = new DateTime('-2 seconds');
+        $media = new Media(1, 'f.webp', '/media/f.webp', 'h', null);
+        $after = new DateTime('+2 seconds');
+
+        self::assertGreaterThanOrEqual($before->getTimestamp(), $media->getCreatedAt()->getTimestamp());
+        self::assertLessThanOrEqual($after->getTimestamp(), $media->getCreatedAt()->getTimestamp());
+    }
+}
diff --git a/tests/Media/MediaRepositoryTest.php b/tests/Media/MediaRepositoryTest.php
new file mode 100644
index 0000000..5076877
--- /dev/null
+++ b/tests/Media/MediaRepositoryTest.php
@@ -0,0 +1,336 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Media;
+use App\Media\MediaRepository;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour MediaRepository.
+ *
+ * Vérifie que chaque méthode du dépôt construit le bon SQL,
+ * lie les bons paramètres et retourne les bonnes valeurs.
+ *
+ * PDO et PDOStatement sont mockés pour isoler complètement
+ * le dépôt de la base de données.
+ */
+final class MediaRepositoryTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    private MediaRepository $repository;
+
+    /**
+     * Données représentant une ligne média en base de données.
+     *
+     * @var array<string, mixed>
+     */
+    private array $rowImage;
+
+    protected function setUp(): void
+    {
+        $this->db         = $this->createMock(PDO::class);
+        $this->repository = new MediaRepository($this->db);
+
+        $this->rowImage = [
+            'id'         => 1,
+            'filename'   => 'photo.webp',
+            'url'        => '/media/photo.webp',
+            'hash'       => str_repeat('a', 64),
+            'user_id'    => 2,
+            'created_at' => '2024-06-01 10:00:00',
+        ];
+    }
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    private function stmtForRead(array $rows = [], array|false $row = false): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchAll')->willReturn($rows);
+        $stmt->method('fetch')->willReturn($row);
+
+        return $stmt;
+    }
+
+    private function stmtForWrite(int $rowCount = 1): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('rowCount')->willReturn($rowCount);
+
+        return $stmt;
+    }
+
+
+    // ── findAll ────────────────────────────────────────────────────
+
+    /**
+     * findAll() retourne un tableau vide si aucun média n'existe.
+     */
+    public function testFindAllReturnsEmptyArrayWhenNone(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findAll());
+    }
+
+    /**
+     * findAll() retourne des instances Media hydratées.
+     */
+    public function testFindAllReturnsMediaInstances(): void
+    {
+        $stmt = $this->stmtForRead([$this->rowImage]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $result = $this->repository->findAll();
+
+        $this->assertCount(1, $result);
+        $this->assertInstanceOf(Media::class, $result[0]);
+        $this->assertSame('photo.webp', $result[0]->getFilename());
+        $this->assertSame('/media/photo.webp', $result[0]->getUrl());
+    }
+
+    /**
+     * findAll() interroge la table 'media' triée par id DESC.
+     */
+    public function testFindAllQueriesWithDescendingOrder(): void
+    {
+        $stmt = $this->stmtForRead([]);
+
+        $this->db->expects($this->once())
+            ->method('query')
+            ->with($this->logicalAnd(
+                $this->stringContains('media'),
+                $this->stringContains('id DESC'),
+            ))
+            ->willReturn($stmt);
+
+        $this->repository->findAll();
+    }
+
+
+    // ── findByUserId ───────────────────────────────────────────────
+
+    /**
+     * findByUserId() retourne un tableau vide si l'utilisateur n'a aucun média.
+     */
+    public function testFindByUserIdReturnsEmptyArrayWhenNone(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findByUserId(99));
+    }
+
+    /**
+     * findByUserId() retourne uniquement les médias de l'utilisateur donné.
+     */
+    public function testFindByUserIdReturnsUserMedia(): void
+    {
+        $stmt = $this->stmtForRead([$this->rowImage]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findByUserId(2);
+
+        $this->assertCount(1, $result);
+        $this->assertSame(2, $result[0]->getUserId());
+    }
+
+    /**
+     * findByUserId() exécute avec le bon user_id.
+     */
+    public function testFindByUserIdQueriesWithCorrectUserId(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':user_id' => 5]);
+
+        $this->repository->findByUserId(5);
+    }
+
+
+    // ── findById ───────────────────────────────────────────────────
+
+    /**
+     * findById() retourne null si le média est absent.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findById(99));
+    }
+
+    /**
+     * findById() retourne une instance Media si le média existe.
+     */
+    public function testFindByIdReturnsMediaWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowImage);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findById(1);
+
+        $this->assertInstanceOf(Media::class, $result);
+        $this->assertSame(1, $result->getId());
+    }
+
+    /**
+     * findById() exécute avec le bon identifiant.
+     */
+    public function testFindByIdQueriesWithCorrectId(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 8]);
+
+        $this->repository->findById(8);
+    }
+
+
+    // ── findByHash ─────────────────────────────────────────────────
+
+    /**
+     * findByHash() retourne null si aucun média ne correspond au hash.
+     */
+    public function testFindByHashReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findByHash(str_repeat('b', 64)));
+    }
+
+    /**
+     * findByHash() retourne une instance Media si le hash existe (doublon détecté).
+     */
+    public function testFindByHashReturnsDuplicateMedia(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowImage);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findByHash(str_repeat('a', 64));
+
+        $this->assertInstanceOf(Media::class, $result);
+        $this->assertSame(str_repeat('a', 64), $result->getHash());
+    }
+
+    /**
+     * findByHash() exécute avec le bon hash.
+     */
+    public function testFindByHashQueriesWithCorrectHash(): void
+    {
+        $hash = str_repeat('c', 64);
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':hash' => $hash]);
+
+        $this->repository->findByHash($hash);
+    }
+
+
+    // ── create ─────────────────────────────────────────────────────
+
+    /**
+     * create() prépare un INSERT avec les bonnes colonnes.
+     */
+    public function testCreateCallsInsertWithCorrectData(): void
+    {
+        $media = Media::fromArray($this->rowImage);
+        $stmt  = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('INSERT INTO media'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data) use ($media): bool {
+                return $data[':filename'] === $media->getFilename()
+                    && $data[':url']      === $media->getUrl()
+                    && $data[':hash']     === $media->getHash()
+                    && $data[':user_id']  === $media->getUserId()
+                    && isset($data[':created_at']);
+            }));
+
+        $this->db->method('lastInsertId')->willReturn('1');
+
+        $this->repository->create($media);
+    }
+
+    /**
+     * create() retourne l'identifiant généré par la base de données.
+     */
+    public function testCreateReturnsGeneratedId(): void
+    {
+        $media = Media::fromArray($this->rowImage);
+        $stmt  = $this->stmtForWrite();
+        $this->db->method('prepare')->willReturn($stmt);
+        $this->db->method('lastInsertId')->willReturn('15');
+
+        $this->assertSame(15, $this->repository->create($media));
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() prépare un DELETE avec le bon identifiant.
+     */
+    public function testDeleteCallsDeleteWithCorrectId(): void
+    {
+        $stmt = $this->stmtForWrite(1);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('DELETE FROM media'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 4]);
+
+        $this->repository->delete(4);
+    }
+
+    /**
+     * delete() retourne le nombre de lignes supprimées.
+     */
+    public function testDeleteReturnsDeletedRowCount(): void
+    {
+        $stmt = $this->stmtForWrite(1);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(1, $this->repository->delete(4));
+    }
+
+    /**
+     * delete() retourne 0 si le média n'existait plus.
+     */
+    public function testDeleteReturnsZeroWhenNotFound(): void
+    {
+        $stmt = $this->stmtForWrite(0);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(0, $this->repository->delete(99));
+    }
+}
diff --git a/tests/Media/MediaServiceDuplicateAfterInsertRaceTest.php b/tests/Media/MediaServiceDuplicateAfterInsertRaceTest.php
new file mode 100644
index 0000000..26d2272
--- /dev/null
+++ b/tests/Media/MediaServiceDuplicateAfterInsertRaceTest.php
@@ -0,0 +1,90 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Media;
+use App\Media\MediaRepositoryInterface;
+use App\Media\MediaService;
+use PDOException;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\StreamInterface;
+use Psr\Http\Message\UploadedFileInterface;
+
+final class MediaServiceDuplicateAfterInsertRaceTest extends TestCase
+{
+    /** @var MediaRepositoryInterface&MockObject */
+    private MediaRepositoryInterface $repository;
+
+    private string $uploadDir;
+
+    private MediaService $service;
+
+    protected function setUp(): void
+    {
+        $this->repository = $this->createMock(MediaRepositoryInterface::class);
+        $this->uploadDir = sys_get_temp_dir() . '/slim_media_race_' . uniqid('', true);
+        @mkdir($this->uploadDir, 0755, true);
+
+        $this->service = new MediaService($this->repository, $this->uploadDir, '/media', 5 * 1024 * 1024);
+    }
+
+    protected function tearDown(): void
+    {
+        foreach (glob($this->uploadDir . '/*') ?: [] as $file) {
+            @unlink($file);
+        }
+        @rmdir($this->uploadDir);
+    }
+
+    public function testReturnsDuplicateUrlWhenInsertRaceOccurs(): void
+    {
+        $tmpFile = $this->createMinimalGif();
+        $hash = hash_file('sha256', $tmpFile);
+        self::assertNotFalse($hash);
+
+        $duplicate = new Media(77, 'existing.gif', '/media/existing.gif', $hash, 1);
+
+        $this->repository->expects($this->exactly(2))
+            ->method('findByHash')
+            ->with($hash)
+            ->willReturnOnConsecutiveCalls(null, $duplicate);
+
+        $this->repository->expects($this->once())
+            ->method('create')
+            ->willThrowException(new PDOException('duplicate key'));
+
+        $file = $this->makeUploadedFileFromPath($tmpFile, filesize($tmpFile));
+        $url = $this->service->store($file, 1);
+
+        self::assertSame('/media/existing.gif', $url);
+        self::assertCount(0, glob($this->uploadDir . '/*') ?: []);
+
+        @unlink($tmpFile);
+    }
+
+    private function makeUploadedFileFromPath(string $path, int $size): UploadedFileInterface
+    {
+        $stream = $this->createMock(StreamInterface::class);
+        $stream->method('getMetadata')->with('uri')->willReturn($path);
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn($size);
+        $file->method('getStream')->willReturn($stream);
+        $file->method('moveTo')->willReturnCallback(static function (string $dest) use ($path): void {
+            copy($path, $dest);
+        });
+
+        return $file;
+    }
+
+    private function createMinimalGif(): string
+    {
+        $tmpFile = tempnam(sys_get_temp_dir(), 'slim_gif_');
+        self::assertNotFalse($tmpFile);
+        file_put_contents($tmpFile, base64_decode('R0lGODdhAQABAIAAAAAAAP///ywAAAAAAQABAAACAUwAOw=='));
+
+        return $tmpFile;
+    }
+}
diff --git a/tests/Media/MediaServiceEdgeCasesTest.php b/tests/Media/MediaServiceEdgeCasesTest.php
new file mode 100644
index 0000000..5e91875
--- /dev/null
+++ b/tests/Media/MediaServiceEdgeCasesTest.php
@@ -0,0 +1,45 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\MediaService;
+use App\Media\MediaRepositoryInterface;
+use App\Media\Exception\FileTooLargeException;
+use App\Media\Exception\StorageException;
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\UploadedFileInterface;
+use Psr\Http\Message\StreamInterface;
+
+final class MediaServiceEdgeCasesTest extends TestCase
+{
+    public function testRejectsWhenSizeUnknown(): void
+    {
+        $repo = $this->createMock(MediaRepositoryInterface::class);
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn(null);
+
+        $service = new MediaService($repo, '/tmp', '/media', 1000);
+
+        $this->expectException(StorageException::class);
+        $service->store($file, 1);
+    }
+
+    public function testRejectsWhenFileTooLarge(): void
+    {
+        $repo = $this->createMock(MediaRepositoryInterface::class);
+
+        $stream = $this->createMock(StreamInterface::class);
+        $stream->method('getMetadata')->willReturn('/tmp/file');
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn(999999);
+        $file->method('getStream')->willReturn($stream);
+
+        $service = new MediaService($repo, '/tmp', '/media', 100);
+
+        $this->expectException(FileTooLargeException::class);
+        $service->store($file, 1);
+    }
+}
diff --git a/tests/Media/MediaServiceInvalidMimeTest.php b/tests/Media/MediaServiceInvalidMimeTest.php
new file mode 100644
index 0000000..af14f6e
--- /dev/null
+++ b/tests/Media/MediaServiceInvalidMimeTest.php
@@ -0,0 +1,40 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Exception\InvalidMimeTypeException;
+use App\Media\MediaRepositoryInterface;
+use App\Media\MediaService;
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\UploadedFileInterface;
+use Psr\Http\Message\StreamInterface;
+
+final class MediaServiceInvalidMimeTest extends TestCase
+{
+    public function testRejectsNonImageContentEvenWithImageLikeFilename(): void
+    {
+        $repo = $this->createMock(MediaRepositoryInterface::class);
+
+        $tmpFile = tempnam(sys_get_temp_dir(), 'upload_');
+        self::assertNotFalse($tmpFile);
+        file_put_contents($tmpFile, 'not an image');
+
+        $stream = $this->createMock(StreamInterface::class);
+        $stream->method('getMetadata')->with('uri')->willReturn($tmpFile);
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn(filesize($tmpFile));
+        $file->method('getStream')->willReturn($stream);
+        $file->method('getClientFilename')->willReturn('photo.png');
+
+        $service = new MediaService($repo, sys_get_temp_dir(), '/media', 500000);
+
+        try {
+            $this->expectException(InvalidMimeTypeException::class);
+            $service->store($file, 1);
+        } finally {
+            @unlink($tmpFile);
+        }
+    }
+}
diff --git a/tests/Media/MediaServiceInvalidTempPathTest.php b/tests/Media/MediaServiceInvalidTempPathTest.php
new file mode 100644
index 0000000..3c2fa9a
--- /dev/null
+++ b/tests/Media/MediaServiceInvalidTempPathTest.php
@@ -0,0 +1,33 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Exception\StorageException;
+use App\Media\MediaRepositoryInterface;
+use App\Media\MediaService;
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\StreamInterface;
+use Psr\Http\Message\UploadedFileInterface;
+
+final class MediaServiceInvalidTempPathTest extends TestCase
+{
+    public function testRejectsWhenTemporaryPathIsMissing(): void
+    {
+        $repository = $this->createMock(MediaRepositoryInterface::class);
+
+        $stream = $this->createMock(StreamInterface::class);
+        $stream->method('getMetadata')->with('uri')->willReturn(null);
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn(128);
+        $file->method('getStream')->willReturn($stream);
+
+        $service = new MediaService($repository, sys_get_temp_dir(), '/media', 500000);
+
+        $this->expectException(StorageException::class);
+        $this->expectExceptionMessage('Impossible de localiser le fichier temporaire uploadé');
+
+        $service->store($file, 1);
+    }
+}
diff --git a/tests/Media/MediaServiceTest.php b/tests/Media/MediaServiceTest.php
new file mode 100644
index 0000000..0373622
--- /dev/null
+++ b/tests/Media/MediaServiceTest.php
@@ -0,0 +1,256 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Media;
+
+use App\Media\Exception\FileTooLargeException;
+use App\Media\Exception\InvalidMimeTypeException;
+use App\Media\Media;
+use App\Media\MediaRepositoryInterface;
+use App\Media\MediaService;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+use Psr\Http\Message\StreamInterface;
+use Psr\Http\Message\UploadedFileInterface;
+
+/**
+ * Tests unitaires pour MediaService.
+ *
+ * Stratégie : les opérations sur le système de fichiers réel (finfo, GD,
+ * copy, moveTo) sont exercées via de vrais fichiers JPEG temporaires ;
+ * le repository reste un mock pour isoler la logique de persistance.
+ *
+ * Les cas couverts :
+ *  - rejet si taille > maxSize
+ *  - rejet si type MIME non autorisé
+ *  - déduplication : retour de l'URL existante si hash déjà connu
+ *  - stockage : fichier écrit sur disque, media créé en base
+ *  - suppression : fichier supprimé du disque et entrée retirée de la base
+ */
+final class MediaServiceTest extends TestCase
+{
+    /** @var MediaRepositoryInterface&MockObject */
+    private MediaRepositoryInterface $repository;
+
+    private string $uploadDir;
+
+    private MediaService $service;
+
+    protected function setUp(): void
+    {
+        $this->repository = $this->createMock(MediaRepositoryInterface::class);
+        $this->uploadDir  = sys_get_temp_dir() . '/slim_media_test_' . uniqid();
+        @mkdir($this->uploadDir, 0755, true);
+
+        $this->service = new MediaService(
+            mediaRepository: $this->repository,
+            uploadDir:       $this->uploadDir,
+            uploadUrl:       '/media',
+            maxSize:         5 * 1024 * 1024,
+        );
+    }
+
+    protected function tearDown(): void
+    {
+        // Nettoyage du répertoire temporaire
+        foreach (glob($this->uploadDir . '/*') ?: [] as $file) {
+            @unlink($file);
+        }
+        @rmdir($this->uploadDir);
+    }
+
+
+    // ── store — rejets ─────────────────────────────────────────────
+
+    /**
+     * store() doit lever FileTooLargeException si la taille dépasse le maximum.
+     */
+    public function testStoreThrowsFileTooLargeWhenOversized(): void
+    {
+        $file = $this->makeUploadedFile(size: 6 * 1024 * 1024);
+
+        $this->expectException(FileTooLargeException::class);
+
+        $this->service->store($file, 1);
+    }
+
+    /**
+     * store() doit lever InvalidMimeTypeException pour un type MIME non autorisé.
+     */
+    public function testStoreThrowsInvalidMimeType(): void
+    {
+        // Créer un vrai fichier texte — finfo retournera text/plain
+        $tmpFile = tempnam(sys_get_temp_dir(), 'slim_test_');
+        file_put_contents($tmpFile, 'ceci est un fichier texte');
+
+        $file = $this->makeUploadedFileFromPath($tmpFile, filesize($tmpFile));
+
+        $this->expectException(InvalidMimeTypeException::class);
+
+        try {
+            $this->service->store($file, 1);
+        } finally {
+            @unlink($tmpFile);
+        }
+    }
+
+
+    // ── store — déduplication ──────────────────────────────────────
+
+    /**
+     * store() doit retourner l'URL existante sans créer de doublon si le hash est connu.
+     */
+    public function testStoreReturnsDuplicateUrl(): void
+    {
+        $tmpFile = $this->createMinimalJpeg();
+        $hash    = hash_file('sha256', $tmpFile);
+
+        $existing = new Media(7, 'existing.jpg', '/media/existing.jpg', $hash, 1);
+        $this->repository->method('findByHash')->willReturn($existing);
+        $this->repository->expects($this->never())->method('create');
+
+        $file = $this->makeUploadedFileFromPath($tmpFile, filesize($tmpFile));
+        $url  = $this->service->store($file, 1);
+
+        $this->assertSame('/media/existing.jpg', $url);
+
+        @unlink($tmpFile);
+    }
+
+
+    // ── store — stockage nominal ───────────────────────────────────
+
+    /**
+     * store() doit créer le fichier sur disque et appeler repository::create().
+     */
+    public function testStoreWritesFileAndCreatesRecord(): void
+    {
+        $tmpFile = $this->createMinimalJpeg();
+
+        $this->repository->method('findByHash')->willReturn(null);
+        $this->repository->expects($this->once())->method('create');
+
+        $file = $this->makeUploadedFileFromPath($tmpFile, filesize($tmpFile));
+        $url  = $this->service->store($file, 1);
+
+        $this->assertStringStartsWith('/media/', $url);
+
+        // Le fichier doit exister sur le disque
+        $filename = basename($url);
+        $this->assertFileExists($this->uploadDir . DIRECTORY_SEPARATOR . $filename);
+
+        @unlink($tmpFile);
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() doit supprimer le fichier physique et appeler repository::delete().
+     */
+    public function testDeleteRemovesFileAndRecord(): void
+    {
+        $filename = 'test_media.jpg';
+        $filePath = $this->uploadDir . DIRECTORY_SEPARATOR . $filename;
+        file_put_contents($filePath, 'fake image data');
+
+        $media = new Media(42, $filename, '/media/' . $filename, 'fakehash', 1);
+
+        $this->repository->expects($this->once())->method('delete')->with(42);
+
+        $this->service->delete($media);
+
+        $this->assertFileDoesNotExist($filePath);
+    }
+
+    /**
+     * delete() ne doit pas lever d'exception si le fichier physique n'existe plus.
+     */
+    public function testDeleteIsSilentWhenFileMissing(): void
+    {
+        $media = new Media(99, 'inexistant.jpg', '/media/inexistant.jpg', 'hash', 1);
+
+        $this->repository->expects($this->once())->method('delete')->with(99);
+
+        // Ne doit pas lever d'exception
+        $this->service->delete($media);
+        $this->assertTrue(true);
+    }
+
+
+    // ── Lectures déléguées ─────────────────────────────────────────
+
+    /**
+     * findById() doit déléguer au repository et retourner null si absent.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $this->repository->method('findById')->willReturn(null);
+
+        $this->assertNull($this->service->findById(999));
+    }
+
+    /**
+     * findById() doit retourner le média trouvé.
+     */
+    public function testFindByIdReturnsMedia(): void
+    {
+        $media = new Media(3, 'photo.jpg', '/media/photo.jpg', 'abc123', 1);
+        $this->repository->method('findById')->with(3)->willReturn($media);
+
+        $this->assertSame($media, $this->service->findById(3));
+    }
+
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un mock d'UploadedFile avec une taille donnée et un tmpPath bidon.
+     */
+    private function makeUploadedFile(int $size): UploadedFileInterface
+    {
+        $stream = $this->createMock(StreamInterface::class);
+        $stream->method('getMetadata')->with('uri')->willReturn('/nonexistent/path');
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn($size);
+        $file->method('getError')->willReturn(UPLOAD_ERR_OK);
+        $file->method('getStream')->willReturn($stream);
+
+        return $file;
+    }
+
+    /**
+     * Crée un mock d'UploadedFile pointant vers un fichier réel.
+     */
+    private function makeUploadedFileFromPath(string $path, int $size): UploadedFileInterface
+    {
+        $stream = $this->createMock(StreamInterface::class);
+        $stream->method('getMetadata')->with('uri')->willReturn($path);
+
+        $file = $this->createMock(UploadedFileInterface::class);
+        $file->method('getSize')->willReturn($size);
+        $file->method('getError')->willReturn(UPLOAD_ERR_OK);
+        $file->method('getStream')->willReturn($stream);
+        $file->method('moveTo')->willReturnCallback(function (string $dest) use ($path) {
+            copy($path, $dest);
+        });
+
+        return $file;
+    }
+
+    /**
+     * Crée un fichier JPEG valide via GD (1×1 pixel).
+     * Retourne le chemin du fichier temporaire.
+     */
+    private function createMinimalJpeg(): string
+    {
+        $tmpFile = tempnam(sys_get_temp_dir(), 'slim_jpeg_') . '.jpg';
+
+        $img = imagecreatetruecolor(1, 1);
+        imagejpeg($img, $tmpFile);
+        imagedestroy($img);
+
+        return $tmpFile;
+    }
+}
diff --git a/tests/Post/PostConcurrentUpdateIntegrationTest.php b/tests/Post/PostConcurrentUpdateIntegrationTest.php
new file mode 100644
index 0000000..84ffc3a
--- /dev/null
+++ b/tests/Post/PostConcurrentUpdateIntegrationTest.php
@@ -0,0 +1,66 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use App\Post\PostRepository;
+use App\Post\PostRepositoryInterface;
+use App\Post\PostService;
+use App\Shared\Database\Migrator;
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Html\HtmlSanitizerInterface;
+use PDO;
+use PHPUnit\Framework\TestCase;
+
+final class PostConcurrentUpdateIntegrationTest extends TestCase
+{
+    private PDO $db;
+
+    protected function setUp(): void
+    {
+        $this->db = new PDO('sqlite::memory:', options: [
+            PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
+            PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+        ]);
+        $this->db->sqliteCreateFunction('strip_tags', 'strip_tags', 1);
+        Migrator::run($this->db);
+
+        $this->db->exec("INSERT INTO users (id, username, email, password_hash, role, created_at) VALUES (1, 'alice', 'alice@example.com', 'hash', 'user', '2024-01-01 00:00:00')");
+        $this->db->exec("INSERT INTO posts (id, title, content, slug, author_id, created_at, updated_at) VALUES (1, 'Titre', '<p>Contenu</p>', 'titre', 1, '2024-01-01 00:00:00', '2024-01-01 00:00:00')");
+    }
+
+    public function testUpdatePostThrowsWhenRowDisappearsBetweenReadAndWrite(): void
+    {
+        $realRepo = new PostRepository($this->db);
+        $repo = new class($realRepo) implements PostRepositoryInterface {
+            private bool $deleted = false;
+            public function __construct(private readonly PostRepository $inner) {}
+            public function findAll(?int $categoryId = null): array { return $this->inner->findAll($categoryId); }
+            public function findRecent(int $limit): array { return $this->inner->findRecent($limit); }
+            public function findByUserId(int $userId, ?int $categoryId = null): array { return $this->inner->findByUserId($userId, $categoryId); }
+            public function findBySlug(string $slug): ?Post { return $this->inner->findBySlug($slug); }
+            public function findById(int $id): ?Post { return $this->inner->findById($id); }
+            public function create(Post $post, string $slug, int $authorId, ?int $categoryId): int { return $this->inner->create($post, $slug, $authorId, $categoryId); }
+            public function update(int $id, Post $post, string $slug, ?int $categoryId): int {
+                if (!$this->deleted) {
+                    $this->deleted = true;
+                    $this->inner->delete($id);
+                }
+                return $this->inner->update($id, $post, $slug, $categoryId);
+            }
+            public function delete(int $id): int { return $this->inner->delete($id); }
+            public function search(string $query, ?int $categoryId = null, ?int $authorId = null): array { return $this->inner->search($query, $categoryId, $authorId); }
+            public function slugExists(string $slug, ?int $excludeId = null): bool { return $this->inner->slugExists($slug, $excludeId); }
+        };
+
+        $sanitizer = new class implements HtmlSanitizerInterface {
+            public function sanitize(string $html): string { return $html; }
+        };
+
+        $service = new PostService($repo, $sanitizer);
+
+        $this->expectException(NotFoundException::class);
+        $service->updatePost(1, 'Titre modifié', '<p>Contenu modifié</p>');
+    }
+}
diff --git a/tests/Post/PostControllerTest.php b/tests/Post/PostControllerTest.php
new file mode 100644
index 0000000..dc9015a
--- /dev/null
+++ b/tests/Post/PostControllerTest.php
@@ -0,0 +1,505 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Category\Category;
+use App\Category\CategoryServiceInterface;
+use App\Post\Post;
+use App\Post\PostController;
+use App\Post\PostServiceInterface;
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use Slim\Exception\HttpNotFoundException;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour PostController.
+ *
+ * Couvre les 7 actions publiques :
+ *  - index()  : page d'accueil, recherche FTS, filtre catégorie
+ *  - show()   : article trouvé, article introuvable (404)
+ *  - admin()  : admin/éditeur voit tout, utilisateur ordinaire voit le sien
+ *  - form()   : formulaire nouveau, formulaire édition, droits insuffisants, 404
+ *  - create() : succès, erreur de validation, erreur inattendue
+ *  - update() : 404, droits insuffisants, succès, erreur de validation
+ *  - delete() : 404, droits insuffisants, succès
+ */
+final class PostControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var PostServiceInterface&MockObject */
+    private PostServiceInterface $postService;
+
+    /** @var CategoryServiceInterface&MockObject */
+    private CategoryServiceInterface $categoryService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    private PostController $controller;
+
+    protected function setUp(): void
+    {
+        $this->view            = $this->makeTwigMock();
+        $this->postService     = $this->createMock(PostServiceInterface::class);
+        $this->categoryService = $this->createMock(CategoryServiceInterface::class);
+        $this->flash           = $this->createMock(FlashServiceInterface::class);
+        $this->sessionManager  = $this->createMock(SessionManagerInterface::class);
+
+        $this->categoryService->method('findAll')->willReturn([]);
+
+        $this->controller = new PostController(
+            $this->view,
+            $this->postService,
+            $this->categoryService,
+            $this->flash,
+            $this->sessionManager,
+        );
+    }
+
+    // ── index ────────────────────────────────────────────────────────
+
+    /**
+     * index() doit appeler getAllPosts() sans filtre par défaut.
+     */
+    public function testIndexCallsGetAllPostsWithNoFilter(): void
+    {
+        $this->postService->expects($this->once())->method('getAllPosts')->with(null)->willReturn([]);
+        $this->postService->expects($this->never())->method('searchPosts');
+
+        $res = $this->controller->index($this->makeGet('/'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    /**
+     * index() doit appeler searchPosts() quand un paramètre q est fourni.
+     */
+    public function testIndexCallsSearchPostsWhenQueryParamPresent(): void
+    {
+        $this->postService->expects($this->once())
+            ->method('searchPosts')
+            ->with('php', null)
+            ->willReturn([]);
+        $this->postService->expects($this->never())->method('getAllPosts');
+
+        $this->controller->index($this->makeGet('/', ['q' => 'php']), $this->makeResponse());
+    }
+
+    /**
+     * index() doit résoudre le slug de catégorie et filtrer si le paramètre categorie est fourni.
+     */
+    public function testIndexFiltersByCategoryWhenSlugProvided(): void
+    {
+        $category = new Category(3, 'PHP', 'php');
+        $this->categoryService->method('findBySlug')->with('php')->willReturn($category);
+
+        $this->postService->expects($this->once())
+            ->method('getAllPosts')
+            ->with(3)
+            ->willReturn([]);
+
+        $this->controller->index(
+            $this->makeGet('/', ['categorie' => 'php']),
+            $this->makeResponse(),
+        );
+    }
+
+    // ── show ─────────────────────────────────────────────────────────
+
+    /**
+     * show() doit rendre la vue de détail si l'article est trouvé.
+     */
+    public function testShowRendersDetailView(): void
+    {
+        $post = $this->buildPostEntity(1, 'Titre', 'Contenu', 'titre', 1);
+        $this->postService->method('getPostBySlug')->willReturn($post);
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'pages/post/detail.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->show(
+            $this->makeGet('/article/titre'),
+            $this->makeResponse(),
+            ['slug' => 'titre'],
+        );
+
+        $this->assertStatus($res, 200);
+    }
+
+    /**
+     * show() doit lancer HttpNotFoundException si l'article est introuvable.
+     */
+    public function testShowThrowsHttpNotFoundWhenPostMissing(): void
+    {
+        $this->postService->method('getPostBySlug')
+            ->willThrowException(new NotFoundException('Article', 'missing'));
+
+        $this->expectException(HttpNotFoundException::class);
+
+        $this->controller->show(
+            $this->makeGet('/article/missing'),
+            $this->makeResponse(),
+            ['slug' => 'missing'],
+        );
+    }
+
+    // ── admin ────────────────────────────────────────────────────────
+
+    /**
+     * admin() doit appeler getAllPosts() pour un administrateur.
+     */
+    public function testAdminCallsGetAllPostsForAdmin(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+
+        $this->postService->expects($this->once())->method('getAllPosts')->willReturn([]);
+        $this->postService->expects($this->never())->method('getPostsByUserId');
+
+        $res = $this->controller->admin($this->makeGet('/admin/posts'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    /**
+     * admin() doit appeler getPostsByUserId() pour un utilisateur ordinaire.
+     */
+    public function testAdminCallsGetPostsByUserIdForRegularUser(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(5);
+
+        $this->postService->expects($this->once())->method('getPostsByUserId')->with(5, null)->willReturn([]);
+        $this->postService->expects($this->never())->method('getAllPosts');
+
+        $this->controller->admin($this->makeGet('/admin/posts'), $this->makeResponse());
+    }
+
+    /**
+     * admin() doit passer authorId = null à searchPosts() pour un admin (recherche globale).
+     */
+    public function testAdminSearchPassesNullAuthorIdForAdmin(): void
+    {
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+
+        $this->postService->expects($this->once())
+            ->method('searchPosts')
+            ->with('php', null, null)
+            ->willReturn([]);
+
+        $this->controller->admin(
+            $this->makeGet('/admin/posts', ['q' => 'php']),
+            $this->makeResponse(),
+        );
+    }
+
+    // ── form ─────────────────────────────────────────────────────────
+
+    /**
+     * form() doit rendre le formulaire vide pour un nouvel article (id = 0).
+     */
+    public function testFormRendersEmptyFormForNewPost(): void
+    {
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'admin/posts/form.twig', $this->callback(
+                fn (array $d) => $d['post'] === null && $d['action'] === '/admin/posts/create'
+            ))
+            ->willReturnArgument(0);
+
+        $this->controller->form(
+            $this->makeGet('/admin/posts/edit/0'),
+            $this->makeResponse(),
+            ['id' => '0'],
+        );
+    }
+
+    /**
+     * form() doit rendre le formulaire pré-rempli pour un article existant dont l'utilisateur est auteur.
+     */
+    public function testFormRendersFilledFormWhenUserIsAuthor(): void
+    {
+        $post = $this->buildPostEntity(7, 'Titre', 'Contenu', 'titre', 5);
+        $this->postService->method('getPostById')->with(7)->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(5);
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'admin/posts/form.twig', $this->callback(
+                fn (array $d) => $d['post'] === $post && $d['action'] === '/admin/posts/edit/7'
+            ))
+            ->willReturnArgument(0);
+
+        $this->controller->form(
+            $this->makeGet('/admin/posts/edit/7'),
+            $this->makeResponse(),
+            ['id' => '7'],
+        );
+    }
+
+    /**
+     * form() doit rediriger avec une erreur si l'utilisateur n'est pas l'auteur.
+     */
+    public function testFormRedirectsWhenUserCannotEditPost(): void
+    {
+        $post = $this->buildPostEntity(7, 'Titre', 'Contenu', 'titre', 10); // auteur = 10
+        $this->postService->method('getPostById')->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(5); // connecté = 5
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_error', $this->stringContains("n'êtes pas l'auteur"));
+
+        $res = $this->controller->form(
+            $this->makeGet('/admin/posts/edit/7'),
+            $this->makeResponse(),
+            ['id' => '7'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * form() doit lancer HttpNotFoundException si l'article est introuvable.
+     */
+    public function testFormThrowsHttpNotFoundWhenPostMissing(): void
+    {
+        $this->postService->method('getPostById')
+            ->willThrowException(new NotFoundException('Article', 99));
+
+        $this->expectException(HttpNotFoundException::class);
+
+        $this->controller->form(
+            $this->makeGet('/admin/posts/edit/99'),
+            $this->makeResponse(),
+            ['id' => '99'],
+        );
+    }
+
+    // ── create ───────────────────────────────────────────────────────
+
+    /**
+     * create() doit flasher un succès et rediriger vers /admin/posts en cas de succès.
+     */
+    public function testCreateRedirectsToAdminPostsOnSuccess(): void
+    {
+        $this->sessionManager->method('getUserId')->willReturn(1);
+        $this->postService->method('createPost')->willReturn(0);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_success', $this->stringContains('créé'));
+
+        $req = $this->makePost('/admin/posts/create', ['title' => 'Mon titre', 'content' => 'Contenu']);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * create() doit flasher une erreur et rediriger vers le formulaire si la validation échoue.
+     */
+    public function testCreateRedirectsToFormOnValidationError(): void
+    {
+        $this->postService->method('createPost')
+            ->willThrowException(new \InvalidArgumentException('Titre vide'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_error', 'Titre vide');
+
+        $req = $this->makePost('/admin/posts/create', ['title' => '', 'content' => 'x']);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/posts/edit/0');
+    }
+
+    /**
+     * create() doit flasher une erreur générique et rediriger vers le formulaire en cas d'exception inattendue.
+     */
+    public function testCreateRedirectsToFormOnUnexpectedError(): void
+    {
+        $this->postService->method('createPost')
+            ->willThrowException(new \RuntimeException('DB error'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_error', $this->stringContains('inattendue'));
+
+        $req = $this->makePost('/admin/posts/create', ['title' => 'T', 'content' => 'C']);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/posts/edit/0');
+    }
+
+    // ── update ───────────────────────────────────────────────────────
+
+    /**
+     * update() doit lancer HttpNotFoundException si l'article est introuvable.
+     */
+    public function testUpdateThrowsHttpNotFoundWhenPostMissing(): void
+    {
+        $this->postService->method('getPostById')
+            ->willThrowException(new NotFoundException('Article', 42));
+
+        $this->expectException(HttpNotFoundException::class);
+
+        $req = $this->makePost('/admin/posts/edit/42', ['title' => 'T', 'content' => 'C', 'slug' => 's']);
+        $this->controller->update($req, $this->makeResponse(), ['id' => '42']);
+    }
+
+    /**
+     * update() doit rediriger avec une erreur si l'utilisateur n'est pas l'auteur.
+     */
+    public function testUpdateRedirectsWhenUserCannotEditPost(): void
+    {
+        $post = $this->buildPostEntity(7, 'Titre', 'Contenu', 'titre', 10);
+        $this->postService->method('getPostById')->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(5);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_error', $this->stringContains("n'êtes pas l'auteur"));
+
+        $req = $this->makePost('/admin/posts/edit/7', ['title' => 'T', 'content' => 'C', 'slug' => 's']);
+        $res = $this->controller->update($req, $this->makeResponse(), ['id' => '7']);
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * update() doit rediriger vers /admin/posts avec un message de succès.
+     */
+    public function testUpdateRedirectsToAdminPostsOnSuccess(): void
+    {
+        $post = $this->buildPostEntity(7, 'Titre', 'Contenu', 'titre', 5);
+        $this->postService->method('getPostById')->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_success', $this->stringContains('modifié'));
+
+        $req = $this->makePost('/admin/posts/edit/7', ['title' => 'Nouveau', 'content' => 'Contenu', 'slug' => 'nouveau']);
+        $res = $this->controller->update($req, $this->makeResponse(), ['id' => '7']);
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * update() doit rediriger vers le formulaire avec une erreur en cas d'InvalidArgumentException.
+     */
+    public function testUpdateRedirectsToFormOnValidationError(): void
+    {
+        $post = $this->buildPostEntity(7, 'Titre', 'Contenu', 'titre', 5);
+        $this->postService->method('getPostById')->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(true);
+        $this->postService->method('updatePost')
+            ->willThrowException(new \InvalidArgumentException('Titre invalide'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_error', 'Titre invalide');
+
+        $req = $this->makePost('/admin/posts/edit/7', ['title' => '', 'content' => 'C', 'slug' => 's']);
+        $res = $this->controller->update($req, $this->makeResponse(), ['id' => '7']);
+
+        $this->assertRedirectTo($res, '/admin/posts/edit/7');
+    }
+
+    // ── delete ───────────────────────────────────────────────────────
+
+    /**
+     * delete() doit lancer HttpNotFoundException si l'article est introuvable.
+     */
+    public function testDeleteThrowsHttpNotFoundWhenPostMissing(): void
+    {
+        $this->postService->method('getPostById')
+            ->willThrowException(new NotFoundException('Article', 42));
+
+        $this->expectException(HttpNotFoundException::class);
+
+        $this->controller->delete(
+            $this->makePost('/admin/posts/delete/42'),
+            $this->makeResponse(),
+            ['id' => '42'],
+        );
+    }
+
+    /**
+     * delete() doit rediriger avec une erreur si l'utilisateur n'est pas l'auteur.
+     */
+    public function testDeleteRedirectsWhenUserCannotDeletePost(): void
+    {
+        $post = $this->buildPostEntity(7, 'Titre', 'Contenu', 'titre', 10);
+        $this->postService->method('getPostById')->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(5);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_error', $this->stringContains("n'êtes pas l'auteur"));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/posts/delete/7'),
+            $this->makeResponse(),
+            ['id' => '7'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    /**
+     * delete() doit appeler deletePost() et rediriger avec succès pour un auteur.
+     */
+    public function testDeleteRedirectsWithSuccessForAuthor(): void
+    {
+        $post = $this->buildPostEntity(7, 'Mon article', 'Contenu', 'mon-article', 5);
+        $this->postService->method('getPostById')->willReturn($post);
+        $this->sessionManager->method('isAdmin')->willReturn(false);
+        $this->sessionManager->method('isEditor')->willReturn(false);
+        $this->sessionManager->method('getUserId')->willReturn(5);
+
+        $this->postService->expects($this->once())->method('deletePost')->with(7);
+        $this->flash->expects($this->once())->method('set')
+            ->with('post_success', $this->stringContains('Mon article'));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/posts/delete/7'),
+            $this->makeResponse(),
+            ['id' => '7'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/posts');
+    }
+
+    // ── Helpers ──────────────────────────────────────────────────────
+
+    /**
+     * Crée une entité Post de test avec les paramètres minimaux.
+     *
+     * Nommé buildPostEntity (et non makePost) pour ne pas masquer
+     * ControllerTestCase::makePost() qui forge une requête HTTP.
+     */
+    private function buildPostEntity(
+        int $id,
+        string $title,
+        string $content,
+        string $slug,
+        ?int $authorId,
+    ): Post {
+        return new Post($id, $title, $content, $slug, $authorId);
+    }
+}
diff --git a/tests/Post/PostExtensionTest.php b/tests/Post/PostExtensionTest.php
new file mode 100644
index 0000000..a2e3837
--- /dev/null
+++ b/tests/Post/PostExtensionTest.php
@@ -0,0 +1,77 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use App\Post\PostExtension;
+use PHPUnit\Framework\TestCase;
+use Twig\TwigFunction;
+
+final class PostExtensionTest extends TestCase
+{
+    /** @var array<string, TwigFunction> */
+    private array $functions;
+
+    protected function setUp(): void
+    {
+        $extension = new PostExtension();
+        $this->functions = [];
+
+        foreach ($extension->getFunctions() as $function) {
+            $this->functions[$function->getName()] = $function;
+        }
+    }
+
+    public function testPostUrlUsesStoredSlug(): void
+    {
+        $post = new Post(1, 'Mon article', '<p>Contenu</p>', 'mon-article-2');
+
+        self::assertSame('/article/mon-article-2', $this->call('post_url', $post));
+    }
+
+    public function testPostExcerptKeepsSafeTagsAndTruncatesHtml(): void
+    {
+        $html = '<p><strong>Bonjour</strong> <script>alert(1)</script><em>monde</em> ' . str_repeat('x', 30) . '</p>';
+        $post = new Post(1, 'Titre', $html, 'titre');
+
+        $excerpt = $this->call('post_excerpt', $post, 20);
+
+        self::assertStringContainsString('<strong>Bonjour</strong>', $excerpt);
+        self::assertStringContainsString('<em>', $excerpt);
+        self::assertStringNotContainsString('<script>', $excerpt);
+        self::assertStringEndsWith('…', $excerpt);
+    }
+
+    public function testPostThumbnailReturnsFirstImageSource(): void
+    {
+        $post = new Post(1, 'Titre', '<p><img src="/media/a.webp" alt="a"><img src="/media/b.webp"></p>', 'titre');
+
+        self::assertSame('/media/a.webp', $this->call('post_thumbnail', $post));
+    }
+
+    public function testPostThumbnailReturnsNullWhenMissing(): void
+    {
+        $post = new Post(1, 'Titre', '<p>Sans image</p>', 'titre');
+
+        self::assertNull($this->call('post_thumbnail', $post));
+    }
+
+    public function testPostInitialsUseMeaningfulWordsAndFallback(): void
+    {
+        $post = new Post(1, 'Article de Blog', '<p>Contenu</p>', 'slug');
+        $single = new Post(2, 'A B', '<p>Contenu</p>', 'slug-2');
+        $emptyLike = new Post(3, 'A', '<p>Contenu</p>', 'slug-3');
+
+        self::assertSame('AB', $this->call('post_initials', $post));
+        self::assertSame('A', $this->call('post_initials', $single));
+        self::assertSame('A', $this->call('post_initials', $emptyLike));
+    }
+
+    private function call(string $name, mixed ...$args): mixed
+    {
+        $callable = $this->functions[$name]->getCallable();
+
+        return $callable(...$args);
+    }
+}
diff --git a/tests/Post/PostFtsUsernameSyncIntegrationTest.php b/tests/Post/PostFtsUsernameSyncIntegrationTest.php
new file mode 100644
index 0000000..c6579c3
--- /dev/null
+++ b/tests/Post/PostFtsUsernameSyncIntegrationTest.php
@@ -0,0 +1,38 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\PostRepository;
+use App\Shared\Database\Migrator;
+use PDO;
+use PHPUnit\Framework\TestCase;
+
+final class PostFtsUsernameSyncIntegrationTest extends TestCase
+{
+    private PDO $db;
+
+    protected function setUp(): void
+    {
+        $this->db = new PDO('sqlite::memory:', options: [
+            PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
+            PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+        ]);
+        $this->db->sqliteCreateFunction('strip_tags', 'strip_tags', 1);
+        Migrator::run($this->db);
+
+        $this->db->exec("INSERT INTO users (id, username, email, password_hash, role, created_at) VALUES (1, 'alice', 'alice@example.com', 'hash', 'user', '2024-01-01 00:00:00')");
+        $this->db->exec("INSERT INTO posts (id, title, content, slug, author_id, created_at, updated_at) VALUES (1, 'Guide Slim', '<p>Contenu</p>', 'guide-slim', 1, '2024-01-01 00:00:00', '2024-01-01 00:00:00')");
+    }
+
+    public function testSearchReflectsUpdatedAuthorUsernameInFtsIndex(): void
+    {
+        $this->db->exec("UPDATE users SET username = 'alice_renamed' WHERE id = 1");
+
+        $results = (new PostRepository($this->db))->search('alice_renamed');
+
+        self::assertCount(1, $results);
+        self::assertSame('alice_renamed', $results[0]->getAuthorUsername());
+        self::assertSame('Guide Slim', $results[0]->getTitle());
+    }
+}
diff --git a/tests/Post/PostModelEdgeCasesTest.php b/tests/Post/PostModelEdgeCasesTest.php
new file mode 100644
index 0000000..32152c8
--- /dev/null
+++ b/tests/Post/PostModelEdgeCasesTest.php
@@ -0,0 +1,29 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use PHPUnit\Framework\TestCase;
+
+final class PostModelEdgeCasesTest extends TestCase
+{
+    public function testFromArrayKeepsMissingOptionalFieldsNull(): void
+    {
+        $post = Post::fromArray([
+            'id' => 3,
+            'title' => 'Titre',
+            'content' => '<p>Texte</p>',
+            'slug' => 'titre',
+        ]);
+
+        self::assertSame(3, $post->getId());
+        self::assertNull($post->getAuthorId());
+        self::assertNull($post->getAuthorUsername());
+        self::assertNull($post->getCategoryId());
+        self::assertNull($post->getCategoryName());
+        self::assertNull($post->getCategorySlug());
+        self::assertInstanceOf(\DateTime::class, $post->getCreatedAt());
+        self::assertInstanceOf(\DateTime::class, $post->getUpdatedAt());
+    }
+}
diff --git a/tests/Post/PostModelTest.php b/tests/Post/PostModelTest.php
new file mode 100644
index 0000000..e743d8a
--- /dev/null
+++ b/tests/Post/PostModelTest.php
@@ -0,0 +1,98 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use DateTime;
+use PHPUnit\Framework\TestCase;
+
+final class PostModelTest extends TestCase
+{
+    public function testConstructAndGettersExposePostData(): void
+    {
+        $createdAt = new DateTime('2026-01-01 10:00:00');
+        $updatedAt = new DateTime('2026-01-02 11:00:00');
+
+        $post = new Post(
+            10,
+            'Été en forêt',
+            '<p>Contenu</p>',
+            'ete-en-foret-2',
+            5,
+            'julien',
+            3,
+            'Tech',
+            'tech',
+            $createdAt,
+            $updatedAt,
+        );
+
+        self::assertSame(10, $post->getId());
+        self::assertSame('Été en forêt', $post->getTitle());
+        self::assertSame('<p>Contenu</p>', $post->getContent());
+        self::assertSame('ete-en-foret-2', $post->getStoredSlug());
+        self::assertSame('ete-en-foret', $post->generateSlug());
+        self::assertSame(5, $post->getAuthorId());
+        self::assertSame('julien', $post->getAuthorUsername());
+        self::assertSame(3, $post->getCategoryId());
+        self::assertSame('Tech', $post->getCategoryName());
+        self::assertSame('tech', $post->getCategorySlug());
+        self::assertSame($createdAt, $post->getCreatedAt());
+        self::assertSame($updatedAt, $post->getUpdatedAt());
+    }
+
+    public function testFromArrayHydratesOptionalFields(): void
+    {
+        $post = Post::fromArray([
+            'id' => '7',
+            'title' => 'Titre',
+            'content' => '<p>Texte</p>',
+            'slug' => 'titre',
+            'author_id' => '9',
+            'author_username' => 'alice',
+            'category_id' => '2',
+            'category_name' => 'Actualités',
+            'category_slug' => 'actualites',
+            'created_at' => '2026-02-01 10:00:00',
+            'updated_at' => '2026-02-02 11:00:00',
+        ]);
+
+        self::assertSame(7, $post->getId());
+        self::assertSame('alice', $post->getAuthorUsername());
+        self::assertSame('Actualités', $post->getCategoryName());
+        self::assertSame('2026-02-01 10:00:00', $post->getCreatedAt()->format('Y-m-d H:i:s'));
+    }
+
+    public function testValidationRejectsEmptyTitle(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('Le titre ne peut pas être vide');
+
+        new Post(1, '', '<p>Contenu</p>');
+    }
+
+    public function testValidationRejectsTooLongTitle(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('Le titre ne peut pas dépasser 255 caractères');
+
+        new Post(1, str_repeat('a', 256), '<p>Contenu</p>');
+    }
+
+    public function testValidationRejectsEmptyContent(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('Le contenu ne peut pas être vide');
+
+        new Post(1, 'Titre', '');
+    }
+
+    public function testValidationRejectsTooLongContent(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+        $this->expectExceptionMessage('Le contenu ne peut pas dépasser 65 535 caractères');
+
+        new Post(1, 'Titre', str_repeat('a', 65536));
+    }
+}
diff --git a/tests/Post/PostRepositoryTest.php b/tests/Post/PostRepositoryTest.php
new file mode 100644
index 0000000..1abba26
--- /dev/null
+++ b/tests/Post/PostRepositoryTest.php
@@ -0,0 +1,546 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use App\Post\PostRepository;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour PostRepository.
+ *
+ * Vérifie que chaque méthode du dépôt construit le bon SQL,
+ * lie les bons paramètres et retourne les bonnes valeurs.
+ *
+ * PDO et PDOStatement sont mockés pour isoler complètement
+ * le dépôt de la base de données.
+ */
+final class PostRepositoryTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    private PostRepository $repository;
+
+    /**
+     * Données représentant une ligne article en base de données (avec JOINs).
+     *
+     * @var array<string, mixed>
+     */
+    private array $rowPost;
+
+    protected function setUp(): void
+    {
+        $this->db         = $this->createMock(PDO::class);
+        $this->repository = new PostRepository($this->db);
+
+        $this->rowPost = [
+            'id'              => 1,
+            'title'           => 'Introduction à PHP',
+            'content'         => '<p>Contenu de test</p>',
+            'slug'            => 'introduction-a-php',
+            'author_id'       => 2,
+            'author_username' => 'alice',
+            'category_id'     => 3,
+            'category_name'   => 'PHP',
+            'category_slug'   => 'php',
+            'created_at'      => '2024-01-01 00:00:00',
+            'updated_at'      => '2024-01-02 00:00:00',
+        ];
+    }
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un PDOStatement mock préconfiguré pour les requêtes de lecture.
+     *
+     * @param list<array<string,mixed>> $rows Lignes retournées par fetchAll()
+     * @param array<string,mixed>|false $row  Ligne retournée par fetch()
+     */
+    private function stmtForRead(array $rows = [], array|false $row = false): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchAll')->willReturn($rows);
+        $stmt->method('fetch')->willReturn($row);
+
+        return $stmt;
+    }
+
+    /**
+     * Crée un PDOStatement mock préconfiguré pour les requêtes d'écriture.
+     */
+    private function stmtForWrite(int $rowCount = 1): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('rowCount')->willReturn($rowCount);
+
+        return $stmt;
+    }
+
+
+    // ── findAll ────────────────────────────────────────────────────
+
+    /**
+     * findAll() sans filtre utilise query() (pas de paramètre à lier)
+     * et retourne un tableau vide si aucun article n'existe.
+     */
+    public function testFindAllReturnsEmptyArrayWhenNone(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findAll());
+    }
+
+    /**
+     * findAll() retourne des instances Post hydratées.
+     */
+    public function testFindAllReturnsPostInstances(): void
+    {
+        $stmt = $this->stmtForRead([$this->rowPost]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $result = $this->repository->findAll();
+
+        $this->assertCount(1, $result);
+        $this->assertInstanceOf(Post::class, $result[0]);
+        $this->assertSame('Introduction à PHP', $result[0]->getTitle());
+        $this->assertSame('alice', $result[0]->getAuthorUsername());
+    }
+
+    /**
+     * findAll() sans filtre appelle query() et non prepare()
+     * (pas de paramètre à lier).
+     */
+    public function testFindAllWithoutFilterUsesQueryNotPrepare(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->expects($this->once())->method('query')->willReturn($stmt);
+        $this->db->expects($this->never())->method('prepare');
+
+        $this->repository->findAll();
+    }
+
+    /**
+     * findAll() avec categoryId prépare un SQL contenant la clause WHERE category_id
+     * et exécute avec le bon paramètre.
+     */
+    public function testFindAllWithCategoryIdPassesFilterCorrectly(): void
+    {
+        $stmt = $this->stmtForRead([]);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('category_id'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $p): bool =>
+                isset($p[':category_id']) && $p[':category_id'] === 3
+            ));
+
+        $this->repository->findAll(3);
+    }
+
+
+    // ── findRecent ─────────────────────────────────────────────────
+
+    /**
+     * findRecent() retourne un tableau vide si aucun article n'existe.
+     */
+    public function testFindRecentReturnsEmptyArray(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findRecent(5));
+    }
+
+    /**
+     * findRecent() lie la limite via bindValue() avec le bon entier.
+     */
+    public function testFindRecentPassesLimitCorrectly(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('bindValue')
+            ->with(':limit', 10, PDO::PARAM_INT);
+
+        $this->repository->findRecent(10);
+    }
+
+    /**
+     * findRecent() retourne des instances Post hydratées.
+     */
+    public function testFindRecentReturnsPostInstances(): void
+    {
+        $stmt = $this->stmtForRead([$this->rowPost]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findRecent(1);
+
+        $this->assertCount(1, $result);
+        $this->assertInstanceOf(Post::class, $result[0]);
+    }
+
+
+    // ── findByUserId ───────────────────────────────────────────────
+
+    /**
+     * findByUserId() retourne un tableau vide si l'utilisateur n'a aucun article.
+     */
+    public function testFindByUserIdReturnsEmptyArray(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findByUserId(99));
+    }
+
+    /**
+     * findByUserId() exécute avec le bon author_id.
+     */
+    public function testFindByUserIdPassesCorrectParameters(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $p): bool =>
+                isset($p[':author_id']) && $p[':author_id'] === 7
+            ));
+
+        $this->repository->findByUserId(7);
+    }
+
+    /**
+     * findByUserId() avec categoryId exécute avec les deux filtres.
+     */
+    public function testFindByUserIdWithCategoryIdPassesBothFilters(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $p): bool =>
+                isset($p[':author_id'], $p[':category_id'])
+                    && $p[':author_id']   === 7
+                    && $p[':category_id'] === 3
+            ));
+
+        $this->repository->findByUserId(7, 3);
+    }
+
+
+    // ── findBySlug ─────────────────────────────────────────────────
+
+    /**
+     * findBySlug() retourne null si le slug est absent.
+     */
+    public function testFindBySlugReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findBySlug('inexistant'));
+    }
+
+    /**
+     * findBySlug() retourne une instance Post si le slug existe.
+     */
+    public function testFindBySlugReturnsPostWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowPost);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findBySlug('introduction-a-php');
+
+        $this->assertInstanceOf(Post::class, $result);
+        $this->assertSame('introduction-a-php', $result->getStoredSlug());
+    }
+
+    /**
+     * findBySlug() exécute avec le bon slug.
+     */
+    public function testFindBySlugQueriesWithCorrectSlug(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':slug' => 'mon-article']);
+
+        $this->repository->findBySlug('mon-article');
+    }
+
+
+    // ── findById ───────────────────────────────────────────────────
+
+    /**
+     * findById() retourne null si l'article est absent.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findById(999));
+    }
+
+    /**
+     * findById() retourne une instance Post si l'article existe.
+     */
+    public function testFindByIdReturnsPostWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowPost);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findById(1);
+
+        $this->assertInstanceOf(Post::class, $result);
+        $this->assertSame(1, $result->getId());
+    }
+
+    /**
+     * findById() exécute avec le bon identifiant.
+     */
+    public function testFindByIdQueriesWithCorrectId(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 12]);
+
+        $this->repository->findById(12);
+    }
+
+
+    // ── create ─────────────────────────────────────────────────────
+
+    /**
+     * create() prépare un INSERT avec les bonnes colonnes.
+     */
+    public function testCreateCallsInsertWithCorrectData(): void
+    {
+        $post = Post::fromArray($this->rowPost);
+        $stmt = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('INSERT INTO posts'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data) use ($post): bool {
+                return $data[':title']       === $post->getTitle()
+                    && $data[':content']     === $post->getContent()
+                    && $data[':slug']        === 'introduction-a-php'
+                    && $data[':author_id']   === 5
+                    && $data[':category_id'] === 3
+                    && isset($data[':created_at'], $data[':updated_at']);
+            }));
+
+        $this->db->method('lastInsertId')->willReturn('1');
+
+        $this->repository->create($post, 'introduction-a-php', 5, 3);
+    }
+
+    /**
+     * create() retourne l'identifiant généré par la base de données.
+     */
+    public function testCreateReturnsGeneratedId(): void
+    {
+        $post = Post::fromArray($this->rowPost);
+        $stmt = $this->stmtForWrite();
+        $this->db->method('prepare')->willReturn($stmt);
+        $this->db->method('lastInsertId')->willReturn('42');
+
+        $this->assertSame(42, $this->repository->create($post, 'slug', 1, null));
+    }
+
+    /**
+     * create() accepte un categoryId null (article sans catégorie).
+     */
+    public function testCreateAcceptsCategoryIdNull(): void
+    {
+        $post = Post::fromArray($this->rowPost);
+        $stmt = $this->stmtForWrite();
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(fn (array $data): bool =>
+                array_key_exists(':category_id', $data) && $data[':category_id'] === null
+            ));
+
+        $this->db->method('lastInsertId')->willReturn('1');
+
+        $this->repository->create($post, 'slug', 1, null);
+    }
+
+
+    // ── update ─────────────────────────────────────────────────────
+
+    /**
+     * update() prépare un UPDATE avec les bonnes colonnes et le bon identifiant.
+     */
+    public function testUpdateCallsUpdateWithCorrectData(): void
+    {
+        $post = Post::fromArray($this->rowPost);
+        $stmt = $this->stmtForWrite(1);
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('UPDATE posts'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data) use ($post): bool {
+                return $data[':title']       === $post->getTitle()
+                    && $data[':content']     === $post->getContent()
+                    && $data[':slug']        === 'nouveau-slug'
+                    && $data[':category_id'] === 3
+                    && $data[':id']          === 1
+                    && isset($data[':updated_at']);
+            }));
+
+        $this->repository->update(1, $post, 'nouveau-slug', 3);
+    }
+
+    /**
+     * update() retourne le nombre de lignes affectées.
+     */
+    public function testUpdateReturnsAffectedRowCount(): void
+    {
+        $post = Post::fromArray($this->rowPost);
+        $stmt = $this->stmtForWrite(1);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(1, $this->repository->update(1, $post, 'slug', null));
+    }
+
+    /**
+     * update() retourne 0 si aucune ligne n'est modifiée (article supprimé entre-temps).
+     */
+    public function testUpdateReturnsZeroWhenNoRowAffected(): void
+    {
+        $post = Post::fromArray($this->rowPost);
+        $stmt = $this->stmtForWrite(0);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(0, $this->repository->update(1, $post, 'slug', null));
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() prépare un DELETE avec le bon identifiant.
+     */
+    public function testDeleteCallsDeleteWithCorrectId(): void
+    {
+        $stmt = $this->stmtForWrite(1);
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('DELETE FROM posts'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 6]);
+
+        $this->repository->delete(6);
+    }
+
+    /**
+     * delete() retourne le nombre de lignes supprimées.
+     */
+    public function testDeleteReturnsDeletedRowCount(): void
+    {
+        $stmt = $this->stmtForWrite(1);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(1, $this->repository->delete(6));
+    }
+
+    /**
+     * delete() retourne 0 si l'article n'existait plus.
+     */
+    public function testDeleteReturnsZeroWhenNotFound(): void
+    {
+        $stmt = $this->stmtForWrite(0);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertSame(0, $this->repository->delete(99));
+    }
+
+
+    // ── slugExists ─────────────────────────────────────────────────
+
+    /**
+     * slugExists() retourne false si le slug n'existe pas en base.
+     */
+    public function testSlugExistsReturnsFalseWhenMissing(): void
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchColumn')->willReturn(false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertFalse($this->repository->slugExists('slug-libre'));
+    }
+
+    /**
+     * slugExists() retourne true si le slug est pris par un autre article.
+     */
+    public function testSlugExistsReturnsTrueWhenTaken(): void
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchColumn')->willReturn('1');
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertTrue($this->repository->slugExists('slug-pris'));
+    }
+
+    /**
+     * slugExists() retourne false si le slug appartient à l'article exclu (mise à jour).
+     */
+    public function testSlugExistsReturnsFalseForExcludedPost(): void
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchColumn')->willReturn('5');
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertFalse($this->repository->slugExists('mon-slug', 5));
+    }
+
+    /**
+     * slugExists() retourne true si le slug appartient à un article différent de l'exclu.
+     */
+    public function testSlugExistsReturnsTrueForOtherPost(): void
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchColumn')->willReturn('3');
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertTrue($this->repository->slugExists('mon-slug', 5));
+    }
+}
diff --git a/tests/Post/PostServiceTest.php b/tests/Post/PostServiceTest.php
new file mode 100644
index 0000000..d646163
--- /dev/null
+++ b/tests/Post/PostServiceTest.php
@@ -0,0 +1,228 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use App\Post\PostRepositoryInterface;
+use App\Post\PostService;
+use App\Shared\Exception\NotFoundException;
+use App\Shared\Html\HtmlSanitizerInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour PostService.
+ *
+ * Couvre la création, la mise à jour, la suppression et les lectures.
+ * HtmlSanitizerInterface et PostRepository sont mockés pour isoler la logique métier.
+ */
+final class PostServiceTest extends TestCase
+{
+    /** @var PostRepositoryInterface&MockObject */
+    private PostRepositoryInterface $repository;
+
+    /** @var HtmlSanitizerInterface&MockObject */
+    private HtmlSanitizerInterface $sanitizer;
+
+    private PostService $service;
+
+    protected function setUp(): void
+    {
+        $this->repository = $this->createMock(PostRepositoryInterface::class);
+        $this->sanitizer  = $this->createMock(HtmlSanitizerInterface::class);
+        $this->service    = new PostService($this->repository, $this->sanitizer);
+    }
+
+
+    // ── Lectures déléguées ─────────────────────────────────────────
+
+    /**
+     * getAllPosts() délègue au repository.
+     */
+    public function testGetAllPostsDelegatesToRepository(): void
+    {
+        $posts = [$this->makePost(1, 'Titre', 'slug-titre')];
+        $this->repository->method('findAll')->willReturn($posts);
+
+        $this->assertSame($posts, $this->service->getAllPosts());
+    }
+
+    /**
+     * getRecentPosts() délègue au repository.
+     */
+    public function testGetRecentPostsDelegatesToRepository(): void
+    {
+        $posts = [$this->makePost(1, 'Titre', 'slug-titre')];
+        $this->repository->method('findRecent')->willReturn($posts);
+
+        $this->assertSame($posts, $this->service->getRecentPosts(5));
+    }
+
+    /**
+     * getPostsByUserId() délègue au repository.
+     */
+    public function testGetPostsByUserIdDelegatesToRepository(): void
+    {
+        $posts = [$this->makePost(1, 'Titre', 'slug-titre')];
+        $this->repository->method('findByUserId')->with(3, null)->willReturn($posts);
+
+        $this->assertSame($posts, $this->service->getPostsByUserId(3));
+    }
+
+    /**
+     * getPostBySlug() lève NotFoundException si l'article est introuvable.
+     */
+    public function testGetPostBySlugThrowsNotFoundExceptionWhenMissing(): void
+    {
+        $this->repository->method('findBySlug')->willReturn(null);
+
+        $this->expectException(NotFoundException::class);
+
+        $this->service->getPostBySlug('slug-inexistant');
+    }
+
+    /**
+     * getPostBySlug() retourne l'article tel que stocké — la sanitisation
+     * se fait à l'écriture (createPost / updatePost), pas à la lecture.
+     */
+    public function testGetPostBySlugReturnsPost(): void
+    {
+        $post = $this->makePost(1, 'Titre', 'mon-slug', '<p>Contenu stocké</p>');
+        $this->repository->method('findBySlug')->willReturn($post);
+
+        $result = $this->service->getPostBySlug('mon-slug');
+
+        $this->assertSame('<p>Contenu stocké</p>', $result->getContent());
+    }
+
+    /**
+     * getPostById() lève NotFoundException si l'article est introuvable.
+     */
+    public function testGetPostByIdThrowsNotFoundExceptionWhenMissing(): void
+    {
+        $this->repository->method('findById')->willReturn(null);
+
+        $this->expectException(NotFoundException::class);
+
+        $this->service->getPostById(999);
+    }
+
+
+    // ── createPost ─────────────────────────────────────────────────
+
+    /**
+     * createPost() lève InvalidArgumentException si le titre est vide.
+     */
+    public function testCreatePostThrowsWhenTitleEmpty(): void
+    {
+        $this->expectException(\InvalidArgumentException::class);
+
+        $this->service->createPost('', '<p>Contenu</p>', 1);
+    }
+
+    /**
+     * createPost() lève InvalidArgumentException si le contenu est vide.
+     */
+    public function testCreatePostThrowsWhenContentEmpty(): void
+    {
+        $this->sanitizer->method('sanitize')->willReturn('');
+
+        $this->expectException(\InvalidArgumentException::class);
+
+        $this->service->createPost('Titre', '', 1);
+    }
+
+    /**
+     * createPost() sanitise le contenu et délègue la persistance.
+     */
+    public function testCreatePostSanitizesAndPersists(): void
+    {
+        $this->sanitizer->method('sanitize')->willReturn('<p>Contenu sûr</p>');
+        $this->repository->method('findBySlug')->willReturn(null);
+        $this->repository->expects($this->once())->method('create')->willReturn(42);
+
+        $id = $this->service->createPost('Mon Titre', '<p>Contenu brut</p>', 1);
+
+        $this->assertSame(42, $id);
+    }
+
+
+    // ── deletePost ─────────────────────────────────────────────────
+
+    /**
+     * deletePost() throws NotFoundException when the repository returns 0 affected rows.
+     */
+    public function testDeletePostThrowsNotFoundExceptionWhenMissing(): void
+    {
+        $this->repository->method('delete')->willReturn(0);
+
+        $this->expectException(NotFoundException::class);
+
+        $this->service->deletePost(99);
+    }
+
+    /**
+     * deletePost() délègue la suppression au repository si l'article existe.
+     */
+    public function testDeletePostDelegatesToRepository(): void
+    {
+        $this->repository->expects($this->once())->method('delete')->with(5)->willReturn(1);
+
+        $this->service->deletePost(5);
+    }
+
+
+    // ── searchPosts ────────────────────────────────────────────────
+
+    /**
+     * searchPosts() délègue la recherche au repository.
+     */
+    public function testSearchPostsDelegatesToRepository(): void
+    {
+        $posts = [$this->makePost(1, 'Résultat', 'resultat')];
+        $this->repository->method('search')->with('mot', null, null)->willReturn($posts);
+
+        $this->assertSame($posts, $this->service->searchPosts('mot'));
+    }
+
+
+    // ── updatePost ─────────────────────────────────────────────────
+
+    /**
+     * updatePost() lève NotFoundException si l'article n'existe plus.
+     */
+    public function testUpdatePostThrowsNotFoundExceptionWhenMissing(): void
+    {
+        $this->repository->method('findById')->willReturn(null);
+
+        $this->expectException(NotFoundException::class);
+
+        $this->service->updatePost(99, 'Titre', '<p>Contenu</p>');
+    }
+
+    /**
+     * updatePost() sanitise le contenu et met à jour l'article.
+     */
+    public function testUpdatePostSanitizesAndUpdates(): void
+    {
+        $post = $this->makePost(1, 'Ancien titre', 'ancien-titre', '<p>Ancien contenu</p>');
+        $this->repository->method('findById')->willReturn($post);
+        $this->sanitizer->method('sanitize')->willReturn('<p>Nouveau contenu sûr</p>');
+        $this->repository->method('findBySlug')->willReturn(null);
+        $this->repository->expects($this->once())->method('update')->willReturn(1);
+
+        $this->service->updatePost(1, 'Nouveau titre', '<p>Nouveau contenu</p>');
+    }
+
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un Post de test.
+     */
+    private function makePost(int $id, string $title, string $slug, string $content = '<p>Contenu</p>'): Post
+    {
+        return new Post($id, $title, $content, $slug);
+    }
+}
diff --git a/tests/Post/RssControllerTest.php b/tests/Post/RssControllerTest.php
new file mode 100644
index 0000000..5c95929
--- /dev/null
+++ b/tests/Post/RssControllerTest.php
@@ -0,0 +1,182 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Post;
+
+use App\Post\Post;
+use App\Post\PostServiceInterface;
+use App\Post\RssController;
+use PHPUnit\Framework\MockObject\MockObject;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour RssController.
+ *
+ * Couvre feed() :
+ *  - Content-Type application/rss+xml
+ *  - Structure XML valide (balises channel obligatoires)
+ *  - Articles inclus dans le flux (titre, lien, guid)
+ *  - Flux vide : XML minimal valide
+ *  - Appel à getRecentPosts() avec la constante FEED_LIMIT (20)
+ */
+final class RssControllerTest extends ControllerTestCase
+{
+    /** @var PostServiceInterface&MockObject */
+    private PostServiceInterface $postService;
+
+    private RssController $controller;
+
+    private const APP_URL  = 'https://example.com';
+    private const APP_NAME = 'Mon Blog';
+
+    protected function setUp(): void
+    {
+        $this->postService = $this->createMock(PostServiceInterface::class);
+
+        $this->controller = new RssController(
+            $this->postService,
+            self::APP_URL,
+            self::APP_NAME,
+        );
+    }
+
+    /**
+     * feed() doit retourner un Content-Type application/rss+xml.
+     */
+    public function testFeedReturnsRssContentType(): void
+    {
+        $this->postService->method('getRecentPosts')->willReturn([]);
+
+        $res = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+
+        $this->assertStringContainsString('application/rss+xml', $res->getHeaderLine('Content-Type'));
+    }
+
+    /**
+     * feed() doit retourner un XML valide même si aucun article n'existe.
+     */
+    public function testFeedReturnsValidXmlWhenNoPostsExist(): void
+    {
+        $this->postService->method('getRecentPosts')->willReturn([]);
+
+        $res  = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $body = (string) $res->getBody();
+
+        $xml = simplexml_load_string($body);
+        $this->assertNotFalse($xml, 'Le corps de la réponse doit être du XML valide');
+        $this->assertSame('2.0', (string) $xml['version']);
+    }
+
+    /**
+     * feed() doit inclure les balises channel obligatoires (title, link, description).
+     */
+    public function testFeedIncludesRequiredChannelElements(): void
+    {
+        $this->postService->method('getRecentPosts')->willReturn([]);
+
+        $res  = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $xml  = simplexml_load_string((string) $res->getBody());
+
+        $this->assertNotFalse($xml);
+        $channel = $xml->channel;
+        $this->assertSame(self::APP_NAME, (string) $channel->title);
+        $this->assertNotEmpty((string) $channel->link);
+        $this->assertNotEmpty((string) $channel->description);
+    }
+
+    /**
+     * feed() doit inclure un item par article avec title, link et guid.
+     */
+    public function testFeedIncludesOneItemPerPost(): void
+    {
+        $post = new Post(1, 'Titre test', 'Contenu de test', 'titre-test', 1, 'alice');
+        $this->postService->method('getRecentPosts')->willReturn([$post]);
+
+        $res  = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $xml  = simplexml_load_string((string) $res->getBody());
+
+        $this->assertNotFalse($xml);
+        $items = $xml->channel->item;
+        $this->assertCount(1, $items);
+        $this->assertSame('Titre test', (string) $items[0]->title);
+        $this->assertStringContainsString('titre-test', (string) $items[0]->link);
+        $this->assertSame((string) $items[0]->link, (string) $items[0]->guid);
+    }
+
+    /**
+     * feed() doit tronquer le contenu à 300 caractères dans la description.
+     */
+    public function testFeedTruncatesLongContentTo300Chars(): void
+    {
+        $longContent = str_repeat('a', 400);
+        $post        = new Post(1, 'Titre', $longContent, 'titre', 1);
+        $this->postService->method('getRecentPosts')->willReturn([$post]);
+
+        $res  = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $xml  = simplexml_load_string((string) $res->getBody());
+
+        $this->assertNotFalse($xml);
+        $description = (string) $xml->channel->item[0]->description;
+        // 300 caractères + '…' = 301 octets UTF-8 pour le contenu visible
+        $this->assertLessThanOrEqual(302, mb_strlen($description));
+        $this->assertStringEndsWith('…', $description);
+    }
+
+    /**
+     * feed() doit appeler getRecentPosts() avec la limite de 20 articles.
+     */
+    public function testFeedRequestsTwentyRecentPosts(): void
+    {
+        $this->postService->expects($this->once())
+            ->method('getRecentPosts')
+            ->with(20)
+            ->willReturn([]);
+
+        $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+    }
+
+    /**
+     * feed() doit inclure la balise author si l'article a un auteur.
+     */
+    public function testFeedIncludesAuthorWhenPresent(): void
+    {
+        $post = new Post(1, 'Titre', 'Contenu', 'titre', 1, 'alice');
+        $this->postService->method('getRecentPosts')->willReturn([$post]);
+
+        $res = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $xml = simplexml_load_string((string) $res->getBody());
+
+        $this->assertNotFalse($xml);
+        $this->assertSame('alice', (string) $xml->channel->item[0]->author);
+    }
+
+    /**
+     * feed() ne doit pas inclure la balise author si l'auteur est null.
+     */
+    public function testFeedOmitsAuthorWhenNull(): void
+    {
+        $post = new Post(1, 'Titre', 'Contenu', 'titre', null, null);
+        $this->postService->method('getRecentPosts')->willReturn([$post]);
+
+        $res = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $xml = simplexml_load_string((string) $res->getBody());
+
+        $this->assertNotFalse($xml);
+        $this->assertCount(0, $xml->channel->item[0]->author);
+    }
+
+    /**
+     * feed() doit construire les URLs des articles en utilisant APP_URL.
+     */
+    public function testFeedBuildsPostUrlsWithAppUrl(): void
+    {
+        $post = new Post(1, 'Titre', 'Contenu', 'mon-slug', 1);
+        $this->postService->method('getRecentPosts')->willReturn([$post]);
+
+        $res = $this->controller->feed($this->makeGet('/rss.xml'), $this->makeResponse());
+        $xml = simplexml_load_string((string) $res->getBody());
+
+        $this->assertNotFalse($xml);
+        $this->assertStringStartsWith(self::APP_URL, (string) $xml->channel->item[0]->link);
+    }
+}
diff --git a/tests/Shared/ClientIpResolverTest.php b/tests/Shared/ClientIpResolverTest.php
new file mode 100644
index 0000000..f119516
--- /dev/null
+++ b/tests/Shared/ClientIpResolverTest.php
@@ -0,0 +1,55 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Http\ClientIpResolver;
+use PHPUnit\Framework\TestCase;
+use Slim\Psr7\Factory\ServerRequestFactory;
+
+final class ClientIpResolverTest extends TestCase
+{
+    public function testResolveReturnsDefaultWhenRemoteAddrMissing(): void
+    {
+        $request = (new ServerRequestFactory())->createServerRequest('GET', '/');
+        $resolver = new ClientIpResolver();
+
+        self::assertSame('0.0.0.0', $resolver->resolve($request));
+    }
+
+    public function testResolveReturnsRemoteAddrWhenProxyNotTrusted(): void
+    {
+        $request = (new ServerRequestFactory())->createServerRequest('GET', '/', [
+            'REMOTE_ADDR' => '10.0.0.1',
+            'HTTP_X_FORWARDED_FOR' => '203.0.113.10',
+        ]);
+
+        $resolver = new ClientIpResolver(['127.0.0.1']);
+
+        self::assertSame('10.0.0.1', $resolver->resolve($request));
+    }
+
+    public function testResolveReturnsForwardedIpWhenProxyTrusted(): void
+    {
+        $request = (new ServerRequestFactory())->createServerRequest('GET', '/', [
+            'REMOTE_ADDR' => '127.0.0.1',
+            'HTTP_X_FORWARDED_FOR' => '203.0.113.10, 198.51.100.12',
+        ]);
+
+        $resolver = new ClientIpResolver(['127.0.0.1']);
+
+        self::assertSame('203.0.113.10', $resolver->resolve($request));
+    }
+
+    public function testResolveFallsBackToRemoteAddrWhenForwardedIpInvalid(): void
+    {
+        $request = (new ServerRequestFactory())->createServerRequest('GET', '/', [
+            'REMOTE_ADDR' => '127.0.0.1',
+            'HTTP_X_FORWARDED_FOR' => 'not-an-ip',
+        ]);
+
+        $resolver = new ClientIpResolver(['*']);
+
+        self::assertSame('127.0.0.1', $resolver->resolve($request));
+    }
+}
diff --git a/tests/Shared/ConfigTest.php b/tests/Shared/ConfigTest.php
new file mode 100644
index 0000000..d21e6e0
--- /dev/null
+++ b/tests/Shared/ConfigTest.php
@@ -0,0 +1,53 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Config;
+use PHPUnit\Framework\TestCase;
+
+final class ConfigTest extends TestCase
+{
+    public function testGetTwigCacheReturnsFalseInDev(): void
+    {
+        self::assertFalse(Config::getTwigCache(true));
+    }
+
+    public function testGetTwigCacheReturnsCachePathOutsideDev(): void
+    {
+        $cachePath = Config::getTwigCache(false);
+
+        self::assertIsString($cachePath);
+        self::assertStringEndsWith('/var/cache/twig', $cachePath);
+    }
+
+    public function testGetDatabasePathCreatesDatabaseFileWhenMissing(): void
+    {
+        $dbFile = dirname(__DIR__, 2).'/database/app.sqlite';
+        $dbDir  = dirname($dbFile);
+        $backup = $dbFile.'.bak-test';
+
+        if (file_exists($backup)) {
+            @unlink($backup);
+        }
+
+        if (file_exists($dbFile)) {
+            rename($dbFile, $backup);
+        }
+
+        @unlink($dbFile);
+
+        try {
+            $path = Config::getDatabasePath();
+
+            self::assertSame($dbFile, $path);
+            self::assertDirectoryExists($dbDir);
+            self::assertFileExists($dbFile);
+        } finally {
+            @unlink($dbFile);
+            if (file_exists($backup)) {
+                rename($backup, $dbFile);
+            }
+        }
+    }
+}
diff --git a/tests/Shared/DateParserTest.php b/tests/Shared/DateParserTest.php
new file mode 100644
index 0000000..382e3bb
--- /dev/null
+++ b/tests/Shared/DateParserTest.php
@@ -0,0 +1,93 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Util\DateParser;
+use DateTime;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour DateParser::parse().
+ *
+ * Couvre la conversion de valeurs brutes de base de données en DateTime,
+ * ainsi que les cas silencieux (null, chaîne vide, valeur invalide).
+ */
+final class DateParserTest extends TestCase
+{
+
+    // ── Valeurs valides ────────────────────────────────────────────
+
+    /**
+     * Une date au format SQLite standard doit produire un DateTime correct.
+     */
+    public function testStandardSqliteDate(): void
+    {
+        $result = DateParser::parse('2024-06-15 10:30:00');
+
+        $this->assertInstanceOf(DateTime::class, $result);
+        $this->assertSame('2024-06-15', $result->format('Y-m-d'));
+        $this->assertSame('10:30:00', $result->format('H:i:s'));
+    }
+
+    /**
+     * Une date ISO 8601 doit être correctement parsée.
+     */
+    public function testIso8601Date(): void
+    {
+        $result = DateParser::parse('2024-01-01T00:00:00');
+
+        $this->assertInstanceOf(DateTime::class, $result);
+        $this->assertSame('2024-01-01', $result->format('Y-m-d'));
+    }
+
+    /**
+     * Une date seule (sans heure) doit être parsée correctement.
+     */
+    public function testDateOnly(): void
+    {
+        $result = DateParser::parse('2024-12-31');
+
+        $this->assertInstanceOf(DateTime::class, $result);
+        $this->assertSame('2024-12-31', $result->format('Y-m-d'));
+    }
+
+
+    // ── Valeurs silencieuses — doit retourner null sans exception ────
+
+    /**
+     * null doit retourner null.
+     */
+    public function testNullReturnsNull(): void
+    {
+        $this->assertNull(DateParser::parse(null));
+    }
+
+    /**
+     * Une chaîne vide doit retourner null.
+     */
+    public function testEmptyStringReturnsNull(): void
+    {
+        $this->assertNull(DateParser::parse(''));
+    }
+
+    /**
+     * Une valeur non parseable doit retourner null sans lever d'exception.
+     */
+    public function testInvalidValueReturnsNull(): void
+    {
+        $this->assertNull(DateParser::parse('pas-une-date'));
+    }
+
+    /**
+     * Un entier doit être interprété comme un timestamp si valide,
+     * ou retourner null si la conversion échoue.
+     * Ici on vérifie simplement qu'aucune exception n'est levée.
+     */
+    public function testIntegerThrowsNoException(): void
+    {
+        $result = DateParser::parse(0);
+        // Pas d'assertion sur la valeur — on vérifie juste la robustesse
+        $this->assertTrue($result === null || $result instanceof DateTime);
+    }
+}
diff --git a/tests/Shared/ExtensionTest.php b/tests/Shared/ExtensionTest.php
new file mode 100644
index 0000000..17c74f4
--- /dev/null
+++ b/tests/Shared/ExtensionTest.php
@@ -0,0 +1,60 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Extension\AppExtension;
+use App\Shared\Extension\CsrfExtension;
+use App\Shared\Extension\SessionExtension;
+use PHPUnit\Framework\TestCase;
+use Slim\Csrf\Guard;
+use Slim\Psr7\Factory\ResponseFactory;
+
+final class ExtensionTest extends TestCase
+{
+    protected function setUp(): void
+    {
+        $_SESSION = [];
+    }
+
+    public function testAppExtensionExposesAppUrl(): void
+    {
+        $extension = new AppExtension('https://example.test');
+
+        self::assertSame(['app_url' => 'https://example.test'], $extension->getGlobals());
+    }
+
+    public function testSessionExtensionExposesSelectedSessionKeys(): void
+    {
+        $_SESSION = [
+            'user_id' => 12,
+            'username' => 'julien',
+            'role' => 'admin',
+            'flash' => ['notice' => 'x'],
+        ];
+
+        $extension = new SessionExtension();
+
+        self::assertSame([
+            'session' => [
+                'user_id' => 12,
+                'username' => 'julien',
+                'role' => 'admin',
+            ],
+        ], $extension->getGlobals());
+    }
+
+    public function testCsrfExtensionExposesTokens(): void
+    {
+        $storage = [];
+        $guard = new Guard(new ResponseFactory(), storage: $storage);
+        $extension = new CsrfExtension($guard);
+        $globals = $extension->getGlobals();
+
+        self::assertArrayHasKey('csrf', $globals);
+        self::assertSame($guard->getTokenNameKey(), $globals['csrf']['keys']['name']);
+        self::assertSame($guard->getTokenValueKey(), $globals['csrf']['keys']['value']);
+        self::assertSame($guard->getTokenName(), $globals['csrf']['name']);
+        self::assertSame($guard->getTokenValue(), $globals['csrf']['value']);
+    }
+}
diff --git a/tests/Shared/FlashServiceConsumeTest.php b/tests/Shared/FlashServiceConsumeTest.php
new file mode 100644
index 0000000..81a9bbb
--- /dev/null
+++ b/tests/Shared/FlashServiceConsumeTest.php
@@ -0,0 +1,26 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Http\FlashService;
+use PHPUnit\Framework\TestCase;
+
+final class FlashServiceConsumeTest extends TestCase
+{
+    protected function setUp(): void
+    {
+        $_SESSION = [];
+    }
+
+    public function testGetReturnsNullWhenMissingAndConsumesWhenPresent(): void
+    {
+        $flash = new FlashService();
+
+        self::assertNull($flash->get('missing'));
+
+        $flash->set('notice', 'Bonjour');
+        self::assertSame('Bonjour', $flash->get('notice'));
+        self::assertNull($flash->get('notice'));
+    }
+}
diff --git a/tests/Shared/FlashServiceTest.php b/tests/Shared/FlashServiceTest.php
new file mode 100644
index 0000000..1342a28
--- /dev/null
+++ b/tests/Shared/FlashServiceTest.php
@@ -0,0 +1,42 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Http\FlashService;
+use PHPUnit\Framework\TestCase;
+
+final class FlashServiceTest extends TestCase
+{
+    protected function setUp(): void
+    {
+        $_SESSION = [];
+    }
+
+    public function testSetAndGetConsumesFlashMessage(): void
+    {
+        $flash = new FlashService();
+
+        $flash->set('notice', 'Bonjour');
+
+        self::assertSame('Bonjour', $flash->get('notice'));
+        self::assertNull($flash->get('notice'));
+    }
+
+    public function testGetCastsNonStringValueAndRemovesIt(): void
+    {
+        $_SESSION['flash']['count'] = 123;
+
+        $flash = new FlashService();
+
+        self::assertSame('123', $flash->get('count'));
+        self::assertArrayNotHasKey('count', $_SESSION['flash']);
+    }
+
+    public function testGetReturnsNullWhenMissing(): void
+    {
+        $flash = new FlashService();
+
+        self::assertNull($flash->get('missing'));
+    }
+}
diff --git a/tests/Shared/HelperEdgeCasesTest.php b/tests/Shared/HelperEdgeCasesTest.php
new file mode 100644
index 0000000..baaea19
--- /dev/null
+++ b/tests/Shared/HelperEdgeCasesTest.php
@@ -0,0 +1,24 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Http\ClientIpResolver;
+use PHPUnit\Framework\TestCase;
+use Slim\Psr7\Factory\ServerRequestFactory;
+
+final class HelperEdgeCasesTest extends TestCase
+{
+    public function testClientIpResolverFallsBackToRemoteAddr(): void
+    {
+        $resolver = new ClientIpResolver([]);
+
+        $request = new ServerRequestFactory()->createServerRequest(
+            'GET',
+            '/',
+            ['REMOTE_ADDR' => '127.0.0.1']
+        );
+
+        self::assertSame('127.0.0.1', $resolver->resolve($request));
+    }
+}
diff --git a/tests/Shared/HtmlPurifierFactoryTest.php b/tests/Shared/HtmlPurifierFactoryTest.php
new file mode 100644
index 0000000..a3ec0a4
--- /dev/null
+++ b/tests/Shared/HtmlPurifierFactoryTest.php
@@ -0,0 +1,32 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Html\HtmlPurifierFactory;
+use PHPUnit\Framework\TestCase;
+
+final class HtmlPurifierFactoryTest extends TestCase
+{
+    public function testCreateBuildsPurifierAndSanitizesDangerousHtml(): void
+    {
+        $cacheDir = sys_get_temp_dir().'/htmlpurifier-test-'.bin2hex(random_bytes(4));
+
+        try {
+            $purifier = HtmlPurifierFactory::create($cacheDir);
+            $result = $purifier->purify('<p style="text-align:center">ok</p><a href="javascript:alert(1)">x</a> https://example.test');
+
+            self::assertDirectoryExists($cacheDir);
+            self::assertStringContainsString('text-align:center', $result);
+            self::assertStringNotContainsString('javascript:', $result);
+            self::assertStringContainsString('https://example.test', $result);
+        } finally {
+            if (is_dir($cacheDir)) {
+                foreach (glob($cacheDir.'/*') ?: [] as $file) {
+                    @unlink($file);
+                }
+                @rmdir($cacheDir);
+            }
+        }
+    }
+}
diff --git a/tests/Shared/HtmlSanitizerTest.php b/tests/Shared/HtmlSanitizerTest.php
new file mode 100644
index 0000000..d492bfd
--- /dev/null
+++ b/tests/Shared/HtmlSanitizerTest.php
@@ -0,0 +1,239 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Html\HtmlPurifierFactory;
+use App\Shared\Html\HtmlSanitizer;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour HtmlSanitizer.
+ *
+ * Vérifie que HTMLPurifier supprime bien les contenus dangereux
+ * (XSS, balises non autorisées, schémas URI interdits) et conserve
+ * les balises légitimes produites par l'éditeur Trumbowyg.
+ *
+ * Ces tests utilisent une vraie instance HTMLPurifier (pas de mock)
+ * car c'est le comportement de purification lui-même qui est testé.
+ */
+final class HtmlSanitizerTest extends TestCase
+{
+    private HtmlSanitizer $sanitizer;
+
+    /**
+     * Crée une instance réelle de HtmlSanitizer avant chaque test.
+     */
+    protected function setUp(): void
+    {
+        $purifier       = HtmlPurifierFactory::create(sys_get_temp_dir() . '/htmlpurifier_tests');
+        $this->sanitizer = new HtmlSanitizer($purifier);
+    }
+
+
+    // ── Balises autorisées ─────────────────────────────────────────
+
+    /**
+     * Les balises de texte courantes doivent être conservées.
+     */
+    public function testTextTagsPreserved(): void
+    {
+        $html   = '<p>Un <strong>texte</strong> avec <em>emphase</em> et <u>soulignement</u>.</p>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('<strong>texte</strong>', $result);
+        $this->assertStringContainsString('<em>emphase</em>', $result);
+        $this->assertStringContainsString('<u>soulignement</u>', $result);
+    }
+
+    /**
+     * Les titres h1 à h6 doivent être conservés.
+     */
+    public function testHeadingsPreserved(): void
+    {
+        $html   = '<h1>Titre 1</h1><h2>Titre 2</h2><h3>Titre 3</h3>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('<h1>', $result);
+        $this->assertStringContainsString('<h2>', $result);
+        $this->assertStringContainsString('<h3>', $result);
+    }
+
+    /**
+     * Les listes ordonnées et non ordonnées doivent être conservées.
+     */
+    public function testListsPreserved(): void
+    {
+        $html   = '<ul><li>Item 1</li><li>Item 2</li></ul><ol><li>A</li></ol>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('<ul>', $result);
+        $this->assertStringContainsString('<ol>', $result);
+        $this->assertStringContainsString('<li>', $result);
+    }
+
+    /**
+     * Les liens avec href http/https doivent être conservés.
+     */
+    public function testHttpLinksPreserved(): void
+    {
+        $html   = '<a href="https://example.com">Lien</a>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('href="https://example.com"', $result);
+        $this->assertStringContainsString('Lien', $result);
+    }
+
+    /**
+     * Les images avec src doivent être conservées.
+     */
+    public function testImagesPreserved(): void
+    {
+        $html   = '<img src="https://example.com/image.jpg" alt="Description">';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('<img', $result);
+        $this->assertStringContainsString('src="https://example.com/image.jpg"', $result);
+    }
+
+    /**
+     * Les blocs de code doivent être conservés.
+     */
+    public function testPreTagPreserved(): void
+    {
+        $html   = '<pre>code ici</pre>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('<pre>', $result);
+    }
+
+
+    // ── Balises et attributs dangereux — suppression XSS ───────────
+
+    /**
+     * Les balises <script> doivent être supprimées.
+     */
+    public function testScriptTagRemoved(): void
+    {
+        $html   = '<p>Texte</p><script>alert("xss")</script>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('<script>', $result);
+        $this->assertStringNotContainsString('alert(', $result);
+    }
+
+    /**
+     * Les attributs onclick et autres handlers JavaScript doivent être supprimés.
+     */
+    public function testJavascriptAttributesRemoved(): void
+    {
+        $html   = '<p onclick="alert(1)" onmouseover="evil()">Texte</p>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('onclick', $result);
+        $this->assertStringNotContainsString('onmouseover', $result);
+    }
+
+    /**
+     * Les liens javascript: doivent être supprimés.
+     */
+    public function testJavascriptLinkRemoved(): void
+    {
+        $html   = '<a href="javascript:alert(1)">Cliquez</a>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('javascript:', $result);
+    }
+
+    /**
+     * Les liens data: doivent être supprimés.
+     */
+    public function testDataLinkRemoved(): void
+    {
+        $html   = '<a href="data:text/html,<script>alert(1)</script>">XSS</a>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('data:', $result);
+    }
+
+    /**
+     * La balise <iframe> doit être supprimée.
+     */
+    public function testIframeTagRemoved(): void
+    {
+        $html   = '<iframe src="https://evil.com"></iframe>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('<iframe', $result);
+    }
+
+    /**
+     * La balise <object> doit être supprimée.
+     */
+    public function testObjectTagRemoved(): void
+    {
+        $html   = '<object data="malware.swf"></object>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('<object', $result);
+    }
+
+    /**
+     * La balise <form> doit être supprimée.
+     */
+    public function testFormTagRemoved(): void
+    {
+        $html   = '<form action="/steal"><input type="password"></form>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('<form', $result);
+        $this->assertStringNotContainsString('<input', $result);
+    }
+
+
+    // ── Cas limites ────────────────────────────────────────────────
+
+    /**
+     * Une chaîne vide doit retourner une chaîne vide (ou quasi-vide).
+     */
+    public function testEmptyStringReturnsEmptyOrBlank(): void
+    {
+        $result = $this->sanitizer->sanitize('');
+
+        $this->assertSame('', trim($result));
+    }
+
+    /**
+     * Du texte brut sans balises doit être conservé.
+     */
+    public function testPlainTextWithoutTags(): void
+    {
+        $html   = 'Bonjour le monde';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('Bonjour le monde', $result);
+    }
+
+    /**
+     * Les attributs CSS text-align doivent être conservés.
+     */
+    public function testStyleTextAlignAttributePreserved(): void
+    {
+        $html   = '<p style="text-align: center;">Centré</p>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringContainsString('text-align', $result);
+    }
+
+    /**
+     * Les propriétés CSS autres que text-align doivent être supprimées.
+     */
+    public function testOtherCssPropertiesRemoved(): void
+    {
+        $html   = '<p style="color: red; background: url(evil.php);">Texte</p>';
+        $result = $this->sanitizer->sanitize($html);
+
+        $this->assertStringNotContainsString('color', $result);
+        $this->assertStringNotContainsString('background', $result);
+    }
+}
diff --git a/tests/Shared/MigratorTest.php b/tests/Shared/MigratorTest.php
new file mode 100644
index 0000000..277ddc9
--- /dev/null
+++ b/tests/Shared/MigratorTest.php
@@ -0,0 +1,212 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Database\Migrator;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour Migrator.
+ *
+ * Vérifie que run() crée la table de suivi, exécute uniquement les migrations
+ * en attente (pas celles déjà appliquées), et appelle syncFtsIndex().
+ *
+ * Les fichiers de migration réels ne sont pas chargés : Migrator::run() est
+ * testé via une base SQLite en mémoire, ce qui est plus fiable qu'un mock
+ * de exec() et permet de vérifier l'état réel de la base après exécution.
+ *
+ * syncFtsIndex() requiert les tables posts, users et posts_fts — elles sont
+ * créées minimalement avant chaque test qui en a besoin.
+ */
+final class MigratorTest extends TestCase
+{
+    private PDO $db;
+
+    protected function setUp(): void
+    {
+        $this->db = new PDO('sqlite::memory:', options: [
+            PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
+            PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+        ]);
+
+        // strip_tags() doit être disponible comme fonction SQLite
+        // (enregistrée dans container.php en production)
+        $this->db->sqliteCreateFunction('strip_tags', 'strip_tags', 1);
+    }
+
+
+    // ── createMigrationTable ───────────────────────────────────────
+
+    /**
+     * run() doit créer la table 'migrations' si elle n'existe pas.
+     */
+    public function testRunCreatesMigrationsTable(): void
+    {
+        $this->createMinimalSchema();
+
+        Migrator::run($this->db);
+
+        $stmt = $this->db->query("SELECT name FROM sqlite_master WHERE type='table' AND name='migrations'");
+        $this->assertNotFalse($stmt->fetchColumn(), 'La table migrations doit exister après run()');
+    }
+
+    /**
+     * run() est idempotent : appeler run() deux fois ne génère pas d'erreur.
+     */
+    public function testRunIsIdempotent(): void
+    {
+        $this->createMinimalSchema();
+
+        Migrator::run($this->db);
+        Migrator::run($this->db); // deuxième appel — ne doit pas planter
+
+        $this->addToAssertionCount(1);
+    }
+
+
+    // ── runPendingMigrations ───────────────────────────────────────
+
+    /**
+     * Une migration déjà enregistrée dans la table migrations
+     * ne doit pas être rejouée.
+     */
+    public function testAlreadyAppliedMigrationIsSkipped(): void
+    {
+        $this->createMinimalSchema();
+        Migrator::run($this->db);
+
+        $before = $this->countMigrations();
+
+        // Simuler une migration future déjà appliquée (version fictive
+        // qui ne correspond à aucun fichier réel — ne génère pas de conflit UNIQUE)
+        $stmt = $this->db->prepare("INSERT INTO migrations (version, run_at) VALUES (:v, :r)");
+        $stmt->execute([':v' => '999_future_migration', ':r' => date('Y-m-d H:i:s')]);
+
+        Migrator::run($this->db);
+        $after = $this->countMigrations();
+
+        // Le nombre de migrations enregistrées ne doit pas avoir changé
+        $this->assertSame($before + 1, $after);
+    }
+
+    /**
+     * La table migrations doit contenir une entrée par migration exécutée.
+     */
+    public function testRunRecordsMigrationsInTable(): void
+    {
+        $this->createMinimalSchema();
+
+        Migrator::run($this->db);
+
+        $count = $this->countMigrations();
+        // Le projet a au moins une migration (001_create_users)
+        $this->assertGreaterThan(0, $count, 'Au moins une migration doit être enregistrée');
+    }
+
+
+    // ── syncFtsIndex ───────────────────────────────────────────────
+
+    /**
+     * syncFtsIndex() doit insérer dans posts_fts les articles
+     * absents de l'index après run().
+     */
+    public function testSyncFtsIndexInsertsUnindexedPosts(): void
+    {
+        // Exécuter les vraies migrations pour avoir le schéma complet
+        Migrator::run($this->db);
+
+        // Insérer un article directement en base (bypass des triggers FTS)
+        $this->db->exec("
+            INSERT INTO users (id, username, email, password_hash, role, created_at)
+            VALUES (1, 'alice', 'alice@example.com', 'hash', 'user', '2024-01-01 00:00:00')
+        ");
+        $this->db->exec("
+            INSERT INTO posts (id, title, content, slug, author_id, created_at, updated_at)
+            VALUES (1, 'Test', '<p>Contenu</p>', 'test', 1, '2024-01-01 00:00:00', '2024-01-01 00:00:00')
+        ");
+        // Supprimer l'entrée FTS pour simuler un article non indexé
+        $this->db->exec("DELETE FROM posts_fts WHERE rowid = 1");
+
+        // run() doit réindexer cet article via syncFtsIndex
+        Migrator::run($this->db);
+
+        $stmt = $this->db->query('SELECT rowid FROM posts_fts WHERE rowid = 1');
+        $this->assertNotFalse($stmt->fetchColumn(), "L'article doit être présent dans posts_fts après run()");
+    }
+
+    /**
+     * syncFtsIndex() ne doit pas créer de doublon pour un article
+     * déjà présent dans l'index.
+     */
+    public function testSyncFtsIndexDoesNotDuplicateIndexedPosts(): void
+    {
+        Migrator::run($this->db);
+
+        // Insérer un article — le trigger FTS l'indexe automatiquement
+        $this->db->exec("
+            INSERT INTO users (id, username, email, password_hash, role, created_at)
+            VALUES (1, 'alice', 'alice@example.com', 'hash', 'user', '2024-01-01 00:00:00')
+        ");
+        $this->db->exec("
+            INSERT INTO posts (id, title, content, slug, author_id, created_at, updated_at)
+            VALUES (1, 'Test', '<p>Contenu</p>', 'test', 1, '2024-01-01 00:00:00', '2024-01-01 00:00:00')
+        ");
+
+        $before = (int) $this->db->query('SELECT COUNT(*) FROM posts_fts')->fetchColumn();
+
+        // Deuxième run() — ne doit pas dupliquer l'entrée FTS
+        Migrator::run($this->db);
+
+        $after = (int) $this->db->query('SELECT COUNT(*) FROM posts_fts')->fetchColumn();
+        $this->assertSame($before, $after);
+    }
+
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée le schéma minimal requis par run() quand les vraies migrations
+     * ne sont pas chargées (posts, users, posts_fts pour syncFtsIndex).
+     *
+     * Utilisé uniquement pour les tests qui ne veulent pas dépendre
+     * des fichiers de migration réels.
+     */
+    private function createMinimalSchema(): void
+    {
+        $this->db->exec('
+            CREATE TABLE IF NOT EXISTS users (
+                id            INTEGER PRIMARY KEY AUTOINCREMENT,
+                username      TEXT NOT NULL UNIQUE,
+                email         TEXT NOT NULL UNIQUE,
+                password_hash TEXT NOT NULL,
+                role          TEXT NOT NULL DEFAULT "user",
+                created_at    DATETIME NOT NULL
+            )
+        ');
+        $this->db->exec('
+            CREATE TABLE IF NOT EXISTS posts (
+                id          INTEGER PRIMARY KEY AUTOINCREMENT,
+                title       TEXT NOT NULL,
+                content     TEXT NOT NULL DEFAULT "",
+                slug        TEXT NOT NULL UNIQUE,
+                author_id   INTEGER,
+                category_id INTEGER,
+                created_at  DATETIME NOT NULL,
+                updated_at  DATETIME NOT NULL
+            )
+        ');
+        $this->db->exec("
+            CREATE VIRTUAL TABLE IF NOT EXISTS posts_fts
+            USING fts5(title, content, author_username, content='posts', content_rowid='id')
+        ");
+    }
+
+    private function countMigrations(): int
+    {
+        return (int) $this->db->query('SELECT COUNT(*) FROM migrations')->fetchColumn();
+    }
+}
diff --git a/tests/Shared/SeederTest.php b/tests/Shared/SeederTest.php
new file mode 100644
index 0000000..24124f6
--- /dev/null
+++ b/tests/Shared/SeederTest.php
@@ -0,0 +1,207 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Database\Seeder;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour Seeder.
+ *
+ * Vérifie que seed() insère le compte administrateur quand il est absent,
+ * et ne fait rien si le compte existe déjà (idempotence).
+ *
+ * PDO et PDOStatement sont mockés pour isoler le Seeder de la base de données.
+ * Les variables d'environnement sont définies dans setUp() et restaurées dans tearDown().
+ */
+final class SeederTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    /** @var array<string, string> Variables d'environnement sauvegardées avant chaque test */
+    private array $envBackup;
+
+    protected function setUp(): void
+    {
+        $this->db = $this->createMock(PDO::class);
+
+        $this->envBackup = [
+            'ADMIN_USERNAME' => $_ENV['ADMIN_USERNAME'] ?? '',
+            'ADMIN_EMAIL'    => $_ENV['ADMIN_EMAIL']    ?? '',
+            'ADMIN_PASSWORD' => $_ENV['ADMIN_PASSWORD'] ?? '',
+        ];
+
+        $_ENV['ADMIN_USERNAME'] = 'admin';
+        $_ENV['ADMIN_EMAIL']    = 'admin@example.com';
+        $_ENV['ADMIN_PASSWORD'] = 'secret1234';
+    }
+
+    protected function tearDown(): void
+    {
+        foreach ($this->envBackup as $key => $value) {
+            $_ENV[$key] = $value;
+        }
+    }
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un PDOStatement mock retournant $fetchColumnValue pour fetchColumn().
+     */
+    private function stmtReturning(mixed $fetchColumnValue): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchColumn')->willReturn($fetchColumnValue);
+
+        return $stmt;
+    }
+
+    private function stmtForWrite(): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+
+        return $stmt;
+    }
+
+
+    // ── seed() — admin absent ──────────────────────────────────────
+
+    /**
+     * seed() doit insérer le compte admin quand aucun utilisateur
+     * portant ce nom d'utilisateur n'existe en base.
+     */
+    public function testSeedInsertsAdminWhenAbsent(): void
+    {
+        $selectStmt = $this->stmtReturning(false);
+        $insertStmt = $this->stmtForWrite();
+
+        $this->db->expects($this->exactly(2))
+            ->method('prepare')
+            ->willReturnOnConsecutiveCalls($selectStmt, $insertStmt);
+
+        $insertStmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data): bool {
+                return $data[':username'] === 'admin'
+                    && $data[':email']    === 'admin@example.com'
+                    && $data[':role']     === 'admin'
+                    && isset($data[':password_hash'], $data[':created_at'])
+                    && password_verify('secret1234', $data[':password_hash']);
+            }));
+
+        Seeder::seed($this->db);
+    }
+
+    /**
+     * seed() doit normaliser le nom d'utilisateur en minuscules
+     * et supprimer les espaces autour.
+     */
+    public function testSeedNormalizesUsername(): void
+    {
+        $_ENV['ADMIN_USERNAME'] = '  ADMIN  ';
+        $_ENV['ADMIN_EMAIL']    = '  ADMIN@EXAMPLE.COM  ';
+
+        $selectStmt = $this->stmtReturning(false);
+        $insertStmt = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->willReturnOnConsecutiveCalls($selectStmt, $insertStmt);
+
+        $insertStmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data): bool {
+                return $data[':username'] === 'admin'
+                    && $data[':email']    === 'admin@example.com';
+            }));
+
+        Seeder::seed($this->db);
+    }
+
+    /**
+     * seed() doit stocker un hash bcrypt, jamais le mot de passe en clair.
+     */
+    public function testSeedHashesPasswordBeforeInsert(): void
+    {
+        $selectStmt = $this->stmtReturning(false);
+        $insertStmt = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->willReturnOnConsecutiveCalls($selectStmt, $insertStmt);
+
+        $insertStmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data): bool {
+                // Le hash ne doit pas être le mot de passe brut
+                return $data[':password_hash'] !== 'secret1234'
+                    // Et doit être vérifiable avec password_verify
+                    && password_verify('secret1234', $data[':password_hash']);
+            }));
+
+        Seeder::seed($this->db);
+    }
+
+    /**
+     * seed() doit renseigner created_at au format 'Y-m-d H:i:s'.
+     */
+    public function testSeedSetsCreatedAt(): void
+    {
+        $selectStmt = $this->stmtReturning(false);
+        $insertStmt = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->willReturnOnConsecutiveCalls($selectStmt, $insertStmt);
+
+        $insertStmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data): bool {
+                return isset($data[':created_at'])
+                    && (bool) \DateTime::createFromFormat('Y-m-d H:i:s', $data[':created_at']);
+            }));
+
+        Seeder::seed($this->db);
+    }
+
+
+    // ── seed() — admin présent (idempotence) ───────────────────────
+
+    /**
+     * seed() ne doit pas exécuter d'INSERT si le compte admin existe déjà.
+     */
+    public function testSeedDoesNotInsertWhenAdminExists(): void
+    {
+        // fetchColumn() retourne l'id existant — le compte est déjà là
+        $selectStmt = $this->stmtReturning('1');
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->willReturn($selectStmt);
+
+        // prepare() ne doit être appelé qu'une fois (SELECT uniquement, pas d'INSERT)
+        Seeder::seed($this->db);
+    }
+
+    /**
+     * seed() vérifie l'existence du compte via le nom d'utilisateur normalisé.
+     */
+    public function testSeedChecksExistenceByNormalizedUsername(): void
+    {
+        $_ENV['ADMIN_USERNAME'] = '  Admin  ';
+
+        $selectStmt = $this->stmtReturning('1');
+
+        $this->db->method('prepare')->willReturn($selectStmt);
+
+        $selectStmt->expects($this->once())
+            ->method('execute')
+            ->with([':username' => 'admin']);
+
+        Seeder::seed($this->db);
+    }
+}
diff --git a/tests/Shared/SessionManagerEdgeCasesTest.php b/tests/Shared/SessionManagerEdgeCasesTest.php
new file mode 100644
index 0000000..41aef3a
--- /dev/null
+++ b/tests/Shared/SessionManagerEdgeCasesTest.php
@@ -0,0 +1,40 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Http\SessionManager;
+use PHPUnit\Framework\TestCase;
+
+final class SessionManagerEdgeCasesTest extends TestCase
+{
+    private SessionManager $manager;
+
+    protected function setUp(): void
+    {
+        $_SESSION = [];
+        $this->manager = new SessionManager();
+    }
+
+    protected function tearDown(): void
+    {
+        $_SESSION = [];
+    }
+
+    public function testGetUserIdReturnsNullForEmptyString(): void
+    {
+        $_SESSION['user_id'] = '';
+
+        self::assertNull($this->manager->getUserId());
+        self::assertFalse($this->manager->isAuthenticated());
+    }
+
+    public function testSetUserUsesDefaultRoleUser(): void
+    {
+        $this->manager->setUser(12, 'julien');
+
+        self::assertSame('user', $_SESSION['role']);
+        self::assertFalse($this->manager->isAdmin());
+        self::assertFalse($this->manager->isEditor());
+    }
+}
diff --git a/tests/Shared/SessionManagerTest.php b/tests/Shared/SessionManagerTest.php
new file mode 100644
index 0000000..1608964
--- /dev/null
+++ b/tests/Shared/SessionManagerTest.php
@@ -0,0 +1,166 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Http\SessionManager;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour SessionManager.
+ *
+ * Vérifie la lecture et l'écriture des données d'authentification
+ * dans $_SESSION, ainsi que la destruction de session.
+ *
+ * Note : session_start() n'est pas appelé dans ces tests — SessionManager
+ * manipule directement $_SESSION, ce qui fonctionne en CLI sans session active.
+ * session_regenerate_id() et session_destroy() sont gardés par un test
+ * session_status() === PHP_SESSION_ACTIVE dans SessionManager, ce qui les rend
+ * sans effet en contexte CLI et évite toute notice PHP.
+ */
+final class SessionManagerTest extends TestCase
+{
+    private SessionManager $manager;
+
+    /**
+     * Réinitialise $_SESSION avant chaque test pour garantir l'isolation.
+     */
+    protected function setUp(): void
+    {
+        $_SESSION      = [];
+        $this->manager = new SessionManager();
+    }
+
+    /**
+     * Réinitialise $_SESSION après chaque test.
+     */
+    protected function tearDown(): void
+    {
+        $_SESSION = [];
+    }
+
+
+    // ── isAuthenticated ────────────────────────────────────────────
+
+    /**
+     * Sans session active, isAuthenticated() doit retourner false.
+     */
+    public function testIsAuthenticatedWithoutSession(): void
+    {
+        $this->assertFalse($this->manager->isAuthenticated());
+    }
+
+    /**
+     * Après setUser(), isAuthenticated() doit retourner true.
+     */
+    public function testIsAuthenticatedAfterSetUser(): void
+    {
+        $this->manager->setUser(1, 'alice', 'user');
+
+        $this->assertTrue($this->manager->isAuthenticated());
+    }
+
+
+    // ── getUserId ──────────────────────────────────────────────────
+
+    /**
+     * Sans session active, getUserId() doit retourner null.
+     */
+    public function testGetUserIdWithoutSession(): void
+    {
+        $this->assertNull($this->manager->getUserId());
+    }
+
+    /**
+     * Après setUser(), getUserId() doit retourner l'identifiant correct.
+     */
+    public function testGetUserIdAfterSetUser(): void
+    {
+        $this->manager->setUser(42, 'alice', 'user');
+
+        $this->assertSame(42, $this->manager->getUserId());
+    }
+
+
+    // ── Rôles — isAdmin / isEditor ─────────────────────────────────
+
+    /**
+     * Un utilisateur avec le rôle 'admin' doit être reconnu comme administrateur.
+     */
+    public function testIsAdminWithAdminRole(): void
+    {
+        $this->manager->setUser(1, 'alice', 'admin');
+
+        $this->assertTrue($this->manager->isAdmin());
+        $this->assertFalse($this->manager->isEditor());
+    }
+
+    /**
+     * Un utilisateur avec le rôle 'editor' doit être reconnu comme éditeur.
+     */
+    public function testIsEditorWithEditorRole(): void
+    {
+        $this->manager->setUser(1, 'alice', 'editor');
+
+        $this->assertFalse($this->manager->isAdmin());
+        $this->assertTrue($this->manager->isEditor());
+    }
+
+    /**
+     * Un utilisateur avec le rôle 'user' ne doit être ni admin ni éditeur.
+     */
+    public function testUserRoleIsNeitherAdminNorEditor(): void
+    {
+        $this->manager->setUser(1, 'alice', 'user');
+
+        $this->assertFalse($this->manager->isAdmin());
+        $this->assertFalse($this->manager->isEditor());
+    }
+
+    /**
+     * Sans session active, isAdmin() doit retourner false.
+     */
+    public function testIsAdminWithoutSession(): void
+    {
+        $this->assertFalse($this->manager->isAdmin());
+    }
+
+    /**
+     * Sans session active, isEditor() doit retourner false.
+     */
+    public function testIsEditorWithoutSession(): void
+    {
+        $this->assertFalse($this->manager->isEditor());
+    }
+
+
+    // ── Données en session ─────────────────────────────────────────
+
+    /**
+     * setUser() doit écrire le username et le rôle dans $_SESSION.
+     */
+    public function testSetUserWritesToSession(): void
+    {
+        $this->manager->setUser(5, 'bob', 'editor');
+
+        $this->assertSame(5, $_SESSION['user_id']);
+        $this->assertSame('bob', $_SESSION['username']);
+        $this->assertSame('editor', $_SESSION['role']);
+    }
+
+
+    // ── destroy ────────────────────────────────────────────────────
+
+    /**
+     * Après destroy(), isAuthenticated() doit retourner false.
+     */
+    public function testDestroyClearsSession(): void
+    {
+        $this->manager->setUser(1, 'alice', 'user');
+        $this->manager->destroy();
+
+        $this->assertFalse($this->manager->isAuthenticated());
+        $this->assertNull($this->manager->getUserId());
+        $this->assertEmpty($_SESSION);
+    }
+}
diff --git a/tests/Shared/SlugHelperTest.php b/tests/Shared/SlugHelperTest.php
new file mode 100644
index 0000000..ea2e386
--- /dev/null
+++ b/tests/Shared/SlugHelperTest.php
@@ -0,0 +1,121 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\Shared;
+
+use App\Shared\Util\SlugHelper;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour SlugHelper::generate().
+ *
+ * Couvre la translittération ASCII, la normalisation en minuscules,
+ * le remplacement des caractères non alphanumériques, et les cas limites.
+ */
+final class SlugHelperTest extends TestCase
+{
+
+    // ── Cas nominaux ───────────────────────────────────────────────
+
+    /**
+     * Une chaîne ASCII simple doit être mise en minuscules.
+     */
+    public function testSimpleAsciiString(): void
+    {
+        $this->assertSame('hello-world', SlugHelper::generate('Hello World'));
+    }
+
+    /**
+     * Les caractères accentués doivent être translittérés en ASCII.
+     */
+    public function testAccentedCharacters(): void
+    {
+        $this->assertSame('ete-en-foret', SlugHelper::generate('Été en forêt'));
+    }
+
+    /**
+     * La cédille et les caractères spéciaux courants doivent être translittérés.
+     */
+    public function testCedillaAndSpecialCharacters(): void
+    {
+        $this->assertSame('ca-la', SlugHelper::generate('Ça & Là !'));
+    }
+
+    /**
+     * Les tirets multiples consécutifs doivent être fusionnés en un seul.
+     */
+    public function testMultipleConsecutiveHyphens(): void
+    {
+        $this->assertSame('foo-bar', SlugHelper::generate('foo   bar'));
+    }
+
+    /**
+     * Les tirets en début et fin de slug doivent être supprimés.
+     */
+    public function testLeadingAndTrailingHyphen(): void
+    {
+        $this->assertSame('foo', SlugHelper::generate('  foo  '));
+    }
+
+    /**
+     * Les chiffres doivent être conservés dans le slug.
+     */
+    public function testDigitsPreserved(): void
+    {
+        $this->assertSame('article-2024', SlugHelper::generate('Article 2024'));
+    }
+
+    /**
+     * Les tirets déjà présents dans la chaîne doivent être conservés (fusionnés si doublons).
+     */
+    public function testHyphensInSourceString(): void
+    {
+        $this->assertSame('mon-article', SlugHelper::generate('mon-article'));
+    }
+
+    /**
+     * Une chaîne entièrement en majuscules doit être passée en minuscules.
+     */
+    public function testUppercaseString(): void
+    {
+        $this->assertSame('php-est-super', SlugHelper::generate('PHP EST SUPER'));
+    }
+
+
+    // ── Cas limites ────────────────────────────────────────────────
+
+    /**
+     * Une chaîne vide doit retourner une chaîne vide.
+     */
+    public function testEmptyString(): void
+    {
+        $this->assertSame('', SlugHelper::generate(''));
+    }
+
+    /**
+     * Une chaîne composée uniquement d'espaces doit retourner une chaîne vide.
+     */
+    public function testSpacesOnlyString(): void
+    {
+        $this->assertSame('', SlugHelper::generate('   '));
+    }
+
+    /**
+     * Une chaîne composée uniquement de caractères spéciaux sans équivalent ASCII
+     * doit retourner une chaîne vide.
+     */
+    public function testCharactersWithoutAsciiEquivalent(): void
+    {
+        // Les caractères CJK n'ont pas d'équivalent ASCII//TRANSLIT
+        $result = SlugHelper::generate('日本語');
+        $this->assertSame('', $result);
+    }
+
+    /**
+     * Un slug déjà valide doit rester identique.
+     */
+    public function testAlreadyValidSlug(): void
+    {
+        $this->assertSame('mon-slug-valide', SlugHelper::generate('mon-slug-valide'));
+    }
+}
diff --git a/tests/User/UserControllerTest.php b/tests/User/UserControllerTest.php
new file mode 100644
index 0000000..36f960d
--- /dev/null
+++ b/tests/User/UserControllerTest.php
@@ -0,0 +1,441 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\User;
+
+use App\Shared\Http\FlashServiceInterface;
+use App\Shared\Http\SessionManagerInterface;
+use App\User\Exception\DuplicateEmailException;
+use App\User\Exception\DuplicateUsernameException;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use App\User\UserController;
+use App\User\UserServiceInterface;
+use PHPUnit\Framework\MockObject\MockObject;
+use Tests\ControllerTestCase;
+
+/**
+ * Tests unitaires pour UserController.
+ *
+ * Couvre les 5 actions publiques :
+ *  - index()      : rendu de la liste
+ *  - showCreate() : rendu du formulaire
+ *  - create()     : mismatch, username dupliqué, email dupliqué, mot de passe faible, succès
+ *  - updateRole() : introuvable, propre rôle, cible admin, rôle invalide, succès
+ *  - delete()     : introuvable, cible admin, soi-même, succès
+ */
+final class UserControllerTest extends ControllerTestCase
+{
+    /** @var \Slim\Views\Twig&MockObject */
+    private \Slim\Views\Twig $view;
+
+    /** @var UserServiceInterface&MockObject */
+    private UserServiceInterface $userService;
+
+    /** @var FlashServiceInterface&MockObject */
+    private FlashServiceInterface $flash;
+
+    /** @var SessionManagerInterface&MockObject */
+    private SessionManagerInterface $sessionManager;
+
+    private UserController $controller;
+
+    protected function setUp(): void
+    {
+        $this->view           = $this->makeTwigMock();
+        $this->userService    = $this->createMock(UserServiceInterface::class);
+        $this->flash          = $this->createMock(FlashServiceInterface::class);
+        $this->sessionManager = $this->createMock(SessionManagerInterface::class);
+
+        $this->controller = new UserController(
+            $this->view,
+            $this->userService,
+            $this->flash,
+            $this->sessionManager,
+        );
+    }
+
+    // ── index ────────────────────────────────────────────────────────
+
+    /**
+     * index() doit rendre la vue avec la liste des utilisateurs.
+     */
+    public function testIndexRendersWithUserList(): void
+    {
+        $this->userService->method('findAll')->willReturn([]);
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'admin/users/index.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->index($this->makeGet('/admin/users'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── showCreate ───────────────────────────────────────────────────
+
+    /**
+     * showCreate() doit rendre le formulaire de création.
+     */
+    public function testShowCreateRendersForm(): void
+    {
+        $this->view->expects($this->once())
+            ->method('render')
+            ->with($this->anything(), 'admin/users/form.twig', $this->anything())
+            ->willReturnArgument(0);
+
+        $res = $this->controller->showCreate($this->makeGet('/admin/users/create'), $this->makeResponse());
+
+        $this->assertStatus($res, 200);
+    }
+
+    // ── create ───────────────────────────────────────────────────────
+
+    /**
+     * create() doit rediriger avec une erreur si les mots de passe ne correspondent pas.
+     */
+    public function testCreateRedirectsWhenPasswordMismatch(): void
+    {
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', 'Les mots de passe ne correspondent pas');
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'pass1',
+            'password_confirm' => 'pass2',
+        ]);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/users/create');
+    }
+
+    /**
+     * create() ne doit pas appeler userService si les mots de passe ne correspondent pas.
+     */
+    public function testCreateDoesNotCallServiceOnMismatch(): void
+    {
+        $this->userService->expects($this->never())->method('createUser');
+        $this->flash->method('set');
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'aaa',
+            'password_confirm' => 'bbb',
+        ]);
+        $this->controller->create($req, $this->makeResponse());
+    }
+
+    /**
+     * create() doit rediriger avec une erreur si le nom d'utilisateur est déjà pris.
+     */
+    public function testCreateRedirectsOnDuplicateUsername(): void
+    {
+        $this->userService->method('createUser')
+            ->willThrowException(new DuplicateUsernameException('alice'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains("nom d'utilisateur est déjà pris"));
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'password123',
+            'password_confirm' => 'password123',
+        ]);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/users/create');
+    }
+
+    /**
+     * create() doit rediriger avec une erreur si l'email est déjà utilisé.
+     */
+    public function testCreateRedirectsOnDuplicateEmail(): void
+    {
+        $this->userService->method('createUser')
+            ->willThrowException(new DuplicateEmailException('alice@example.com'));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains('e-mail est déjà utilisée'));
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'password123',
+            'password_confirm' => 'password123',
+        ]);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/users/create');
+    }
+
+    /**
+     * create() doit rediriger avec une erreur si le mot de passe est trop court.
+     */
+    public function testCreateRedirectsOnWeakPassword(): void
+    {
+        $this->userService->method('createUser')
+            ->willThrowException(new WeakPasswordException());
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains('8 caractères'));
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'short',
+            'password_confirm' => 'short',
+        ]);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/users/create');
+    }
+
+    /**
+     * create() doit flasher un succès et rediriger vers /admin/users en cas de succès.
+     */
+    public function testCreateRedirectsToUsersListOnSuccess(): void
+    {
+        $this->userService->method('createUser')->willReturn($this->makeUser(99, 'alice', User::ROLE_USER));
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_success', $this->stringContains('alice'));
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'password123',
+            'password_confirm' => 'password123',
+        ]);
+        $res = $this->controller->create($req, $this->makeResponse());
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * create() doit forcer le rôle 'user' si un rôle admin est soumis dans le formulaire.
+     */
+    public function testCreateForcesRoleUserWhenAdminRoleSubmitted(): void
+    {
+        $this->userService->expects($this->once())
+            ->method('createUser')
+            ->with('alice', 'alice@example.com', 'password123', User::ROLE_USER);
+
+        $this->flash->method('set');
+
+        $req = $this->makePost('/admin/users/create', [
+            'username'         => 'alice',
+            'email'            => 'alice@example.com',
+            'password'         => 'password123',
+            'password_confirm' => 'password123',
+            'role'             => User::ROLE_ADMIN, // rôle injecté par l'attaquant
+        ]);
+        $this->controller->create($req, $this->makeResponse());
+    }
+
+    // ── updateRole ───────────────────────────────────────────────────
+
+    /**
+     * updateRole() doit rediriger avec une erreur si l'utilisateur est introuvable.
+     */
+    public function testUpdateRoleRedirectsWhenUserNotFound(): void
+    {
+        $this->userService->method('findById')->willReturn(null);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', 'Utilisateur introuvable');
+
+        $res = $this->controller->updateRole(
+            $this->makePost('/admin/users/role/99', ['role' => User::ROLE_EDITOR]),
+            $this->makeResponse(),
+            ['id' => '99'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * updateRole() doit rediriger avec une erreur si l'admin tente de changer son propre rôle.
+     */
+    public function testUpdateRoleRedirectsWhenAdminTriesToChangeOwnRole(): void
+    {
+        $user = $this->makeUser(1, 'admin', User::ROLE_USER);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1); // même ID
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains('propre rôle'));
+
+        $res = $this->controller->updateRole(
+            $this->makePost('/admin/users/role/1', ['role' => User::ROLE_EDITOR]),
+            $this->makeResponse(),
+            ['id' => '1'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * updateRole() doit rediriger avec une erreur si l'utilisateur cible est déjà admin.
+     */
+    public function testUpdateRoleRedirectsWhenTargetIsAdmin(): void
+    {
+        $user = $this->makeUser(2, 'superadmin', User::ROLE_ADMIN);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains("administrateur ne peut pas être modifié"));
+
+        $res = $this->controller->updateRole(
+            $this->makePost('/admin/users/role/2', ['role' => User::ROLE_EDITOR]),
+            $this->makeResponse(),
+            ['id' => '2'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * updateRole() doit rediriger avec une erreur si le rôle soumis est invalide.
+     */
+    public function testUpdateRoleRedirectsOnInvalidRole(): void
+    {
+        $user = $this->makeUser(2, 'bob', User::ROLE_USER);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', 'Rôle invalide');
+
+        $res = $this->controller->updateRole(
+            $this->makePost('/admin/users/role/2', ['role' => 'superuser']),
+            $this->makeResponse(),
+            ['id' => '2'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * updateRole() doit appeler userService et rediriger avec succès.
+     */
+    public function testUpdateRoleRedirectsWithSuccessFlash(): void
+    {
+        $user = $this->makeUser(2, 'bob', User::ROLE_USER);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->userService->expects($this->once())->method('updateRole')->with(2, User::ROLE_EDITOR);
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_success', $this->stringContains('bob'));
+
+        $res = $this->controller->updateRole(
+            $this->makePost('/admin/users/role/2', ['role' => User::ROLE_EDITOR]),
+            $this->makeResponse(),
+            ['id' => '2'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    // ── delete ───────────────────────────────────────────────────────
+
+    /**
+     * delete() doit rediriger avec une erreur si l'utilisateur est introuvable.
+     */
+    public function testDeleteRedirectsWhenUserNotFound(): void
+    {
+        $this->userService->method('findById')->willReturn(null);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', 'Utilisateur introuvable');
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/users/delete/99'),
+            $this->makeResponse(),
+            ['id' => '99'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * delete() doit rediriger avec une erreur si la cible est administrateur.
+     */
+    public function testDeleteRedirectsWhenTargetIsAdmin(): void
+    {
+        $user = $this->makeUser(2, 'superadmin', User::ROLE_ADMIN);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains('administrateur ne peut pas être supprimé'));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/users/delete/2'),
+            $this->makeResponse(),
+            ['id' => '2'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * delete() doit rediriger avec une erreur si l'admin tente de supprimer son propre compte.
+     */
+    public function testDeleteRedirectsWhenAdminTriesToDeleteOwnAccount(): void
+    {
+        $user = $this->makeUser(1, 'alice', User::ROLE_USER);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1); // même ID
+
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_error', $this->stringContains('propre compte'));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/users/delete/1'),
+            $this->makeResponse(),
+            ['id' => '1'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    /**
+     * delete() doit appeler userService et rediriger avec succès.
+     */
+    public function testDeleteRedirectsWithSuccessFlash(): void
+    {
+        $user = $this->makeUser(2, 'bob', User::ROLE_USER);
+        $this->userService->method('findById')->willReturn($user);
+        $this->sessionManager->method('getUserId')->willReturn(1);
+
+        $this->userService->expects($this->once())->method('delete')->with(2);
+        $this->flash->expects($this->once())->method('set')
+            ->with('user_success', $this->stringContains('bob'));
+
+        $res = $this->controller->delete(
+            $this->makePost('/admin/users/delete/2'),
+            $this->makeResponse(),
+            ['id' => '2'],
+        );
+
+        $this->assertRedirectTo($res, '/admin/users');
+    }
+
+    // ── Helpers ──────────────────────────────────────────────────────
+
+    /**
+     * Crée un utilisateur de test avec les paramètres minimaux.
+     */
+    private function makeUser(int $id, string $username, string $role): User
+    {
+        return new User($id, $username, "{$username}@example.com", password_hash('secret', PASSWORD_BCRYPT), $role);
+    }
+}
diff --git a/tests/User/UserRepositoryTest.php b/tests/User/UserRepositoryTest.php
new file mode 100644
index 0000000..dbfaf72
--- /dev/null
+++ b/tests/User/UserRepositoryTest.php
@@ -0,0 +1,357 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\User;
+
+use App\User\User;
+use App\User\UserRepository;
+use PDO;
+use PDOStatement;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour UserRepository.
+ *
+ * Vérifie que chaque méthode du dépôt construit le bon SQL,
+ * lie les bons paramètres et retourne les bonnes valeurs.
+ *
+ * PDO et PDOStatement sont mockés pour isoler complètement
+ * le dépôt de la base de données.
+ */
+final class UserRepositoryTest extends TestCase
+{
+    /** @var PDO&MockObject */
+    private PDO $db;
+
+    private UserRepository $repository;
+
+    /**
+     * Données représentant une ligne utilisateur en base de données.
+     *
+     * @var array<string, mixed>
+     */
+    private array $rowAlice;
+
+    /**
+     * Initialise le mock PDO, le dépôt et les données de test avant chaque test.
+     */
+    protected function setUp(): void
+    {
+        $this->db         = $this->createMock(PDO::class);
+        $this->repository = new UserRepository($this->db);
+
+        $this->rowAlice = [
+            'id'            => 1,
+            'username'      => 'alice',
+            'email'         => 'alice@example.com',
+            'password_hash' => password_hash('secret', PASSWORD_BCRYPT),
+            'role'          => User::ROLE_USER,
+            'created_at'    => '2024-01-01 00:00:00',
+        ];
+    }
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    private function stmtForRead(array $rows = [], array|false $row = false): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+        $stmt->method('fetchAll')->willReturn($rows);
+        $stmt->method('fetch')->willReturn($row);
+
+        return $stmt;
+    }
+
+    private function stmtForWrite(): PDOStatement&MockObject
+    {
+        $stmt = $this->createMock(PDOStatement::class);
+        $stmt->method('execute')->willReturn(true);
+
+        return $stmt;
+    }
+
+
+    // ── findAll ────────────────────────────────────────────────────
+
+    /**
+     * findAll() doit retourner un tableau vide si aucun utilisateur n'existe.
+     */
+    public function testFindAllReturnsEmptyArrayWhenNone(): void
+    {
+        $stmt = $this->stmtForRead([]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $this->assertSame([], $this->repository->findAll());
+    }
+
+    /**
+     * findAll() doit retourner un tableau d'instances User hydratées.
+     */
+    public function testFindAllReturnsUserInstances(): void
+    {
+        $stmt = $this->stmtForRead([$this->rowAlice]);
+        $this->db->method('query')->willReturn($stmt);
+
+        $result = $this->repository->findAll();
+
+        $this->assertCount(1, $result);
+        $this->assertInstanceOf(User::class, $result[0]);
+        $this->assertSame('alice', $result[0]->getUsername());
+    }
+
+    /**
+     * findAll() doit interroger la table 'users' avec un tri par created_at ASC.
+     */
+    public function testFindAllQueriesWithAscendingOrder(): void
+    {
+        $stmt = $this->stmtForRead([]);
+
+        $this->db->expects($this->once())
+            ->method('query')
+            ->with($this->logicalAnd(
+                $this->stringContains('users'),
+                $this->stringContains('created_at ASC'),
+            ))
+            ->willReturn($stmt);
+
+        $this->repository->findAll();
+    }
+
+
+    // ── findById ───────────────────────────────────────────────────
+
+    /**
+     * findById() doit retourner null si aucun utilisateur ne correspond à cet identifiant.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findById(99));
+    }
+
+    /**
+     * findById() doit retourner une instance User hydratée si l'utilisateur existe.
+     */
+    public function testFindByIdReturnsUserWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowAlice);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findById(1);
+
+        $this->assertInstanceOf(User::class, $result);
+        $this->assertSame(1, $result->getId());
+    }
+
+    /**
+     * findById() doit exécuter avec le bon identifiant.
+     */
+    public function testFindByIdQueriesWithCorrectId(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 42]);
+
+        $this->repository->findById(42);
+    }
+
+
+    // ── findByUsername ─────────────────────────────────────────────
+
+    /**
+     * findByUsername() doit retourner null si le nom d'utilisateur est introuvable.
+     */
+    public function testFindByUsernameReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findByUsername('inconnu'));
+    }
+
+    /**
+     * findByUsername() doit retourner une instance User si le nom est trouvé.
+     */
+    public function testFindByUsernameReturnsUserWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowAlice);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findByUsername('alice');
+
+        $this->assertInstanceOf(User::class, $result);
+        $this->assertSame('alice', $result->getUsername());
+    }
+
+    /**
+     * findByUsername() doit exécuter avec le bon nom d'utilisateur.
+     */
+    public function testFindByUsernameQueriesWithCorrectName(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':username' => 'alice']);
+
+        $this->repository->findByUsername('alice');
+    }
+
+
+    // ── findByEmail ────────────────────────────────────────────────
+
+    /**
+     * findByEmail() doit retourner null si l'adresse e-mail est introuvable.
+     */
+    public function testFindByEmailReturnsNullWhenMissing(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $this->assertNull($this->repository->findByEmail('inconnu@example.com'));
+    }
+
+    /**
+     * findByEmail() doit retourner une instance User si l'e-mail est trouvé.
+     */
+    public function testFindByEmailReturnsUserWhenFound(): void
+    {
+        $stmt = $this->stmtForRead(row: $this->rowAlice);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $result = $this->repository->findByEmail('alice@example.com');
+
+        $this->assertInstanceOf(User::class, $result);
+        $this->assertSame('alice@example.com', $result->getEmail());
+    }
+
+    /**
+     * findByEmail() doit exécuter avec la bonne adresse e-mail.
+     */
+    public function testFindByEmailQueriesWithCorrectEmail(): void
+    {
+        $stmt = $this->stmtForRead(row: false);
+        $this->db->method('prepare')->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':email' => 'alice@example.com']);
+
+        $this->repository->findByEmail('alice@example.com');
+    }
+
+
+    // ── create ─────────────────────────────────────────────────────
+
+    /**
+     * create() doit préparer un INSERT sur la table 'users' avec les bonnes données.
+     */
+    public function testCreateCallsInsertWithCorrectData(): void
+    {
+        $user = User::fromArray($this->rowAlice);
+        $stmt = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('INSERT INTO users'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with($this->callback(function (array $data) use ($user): bool {
+                return $data[':username']      === $user->getUsername()
+                    && $data[':email']         === $user->getEmail()
+                    && $data[':password_hash'] === $user->getPasswordHash()
+                    && $data[':role']          === $user->getRole()
+                    && isset($data[':created_at']);
+            }));
+
+        $this->db->method('lastInsertId')->willReturn('1');
+
+        $this->repository->create($user);
+    }
+
+    /**
+     * create() doit retourner l'identifiant généré par la base de données.
+     */
+    public function testCreateReturnsGeneratedId(): void
+    {
+        $user = User::fromArray($this->rowAlice);
+        $stmt = $this->stmtForWrite();
+        $this->db->method('prepare')->willReturn($stmt);
+        $this->db->method('lastInsertId')->willReturn('42');
+
+        $this->assertSame(42, $this->repository->create($user));
+    }
+
+
+    // ── updatePassword ─────────────────────────────────────────────
+
+    /**
+     * updatePassword() doit préparer un UPDATE avec le nouveau hash et le bon identifiant.
+     */
+    public function testUpdatePasswordCallsUpdateWithCorrectHash(): void
+    {
+        $newHash = password_hash('nouveaumdp', PASSWORD_BCRYPT);
+        $stmt    = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('UPDATE users'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':password_hash' => $newHash, ':id' => 1]);
+
+        $this->repository->updatePassword(1, $newHash);
+    }
+
+
+    // ── updateRole ─────────────────────────────────────────────────
+
+    /**
+     * updateRole() doit préparer un UPDATE avec le bon rôle et le bon identifiant.
+     */
+    public function testUpdateRoleCallsUpdateWithCorrectRole(): void
+    {
+        $stmt = $this->stmtForWrite();
+
+        $this->db->method('prepare')
+            ->with($this->stringContains('UPDATE users'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':role' => User::ROLE_EDITOR, ':id' => 1]);
+
+        $this->repository->updateRole(1, User::ROLE_EDITOR);
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() doit préparer un DELETE avec le bon identifiant.
+     */
+    public function testDeleteCallsDeleteWithCorrectId(): void
+    {
+        $stmt = $this->stmtForWrite();
+
+        $this->db->expects($this->once())
+            ->method('prepare')
+            ->with($this->stringContains('DELETE FROM users'))
+            ->willReturn($stmt);
+
+        $stmt->expects($this->once())
+            ->method('execute')
+            ->with([':id' => 7]);
+
+        $this->repository->delete(7);
+    }
+}
diff --git a/tests/User/UserServiceTest.php b/tests/User/UserServiceTest.php
new file mode 100644
index 0000000..3fa8254
--- /dev/null
+++ b/tests/User/UserServiceTest.php
@@ -0,0 +1,270 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\User;
+
+use App\User\Exception\DuplicateEmailException;
+use App\User\Exception\DuplicateUsernameException;
+use App\User\Exception\InvalidRoleException;
+use App\User\Exception\WeakPasswordException;
+use App\User\User;
+use App\User\UserRepositoryInterface;
+use App\User\UserService;
+use PHPUnit\Framework\MockObject\MockObject;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour UserService.
+ *
+ * Vérifie la création de compte : normalisation, unicité du nom d'utilisateur
+ * et de l'email, validation de la complexité du mot de passe.
+ * Les dépendances sont remplacées par des mocks via leurs interfaces pour
+ * isoler le service.
+ */
+final class UserServiceTest extends TestCase
+{
+    /** @var UserRepositoryInterface&MockObject */
+    private UserRepositoryInterface $userRepository;
+
+    private UserService $service;
+
+    protected function setUp(): void
+    {
+        $this->userRepository = $this->createMock(UserRepositoryInterface::class);
+        $this->service        = new UserService($this->userRepository);
+    }
+
+
+    // ── createUser ─────────────────────────────────────────────────
+
+    /**
+     * createUser() doit créer et retourner un utilisateur avec les bonnes données.
+     */
+    public function testCreateUserWithValidData(): void
+    {
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn(null);
+        $this->userRepository->expects($this->once())->method('create');
+
+        $user = $this->service->createUser('Alice', 'alice@example.com', 'motdepasse1');
+
+        $this->assertSame('alice', $user->getUsername());
+        $this->assertSame('alice@example.com', $user->getEmail());
+        $this->assertSame(User::ROLE_USER, $user->getRole());
+    }
+
+    /**
+     * createUser() doit normaliser le nom d'utilisateur et l'email en minuscules.
+     */
+    public function testCreateUserNormalizesToLowercase(): void
+    {
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn(null);
+        $this->userRepository->method('create');
+
+        $user = $this->service->createUser('  ALICE  ', '  ALICE@EXAMPLE.COM  ', 'motdepasse1');
+
+        $this->assertSame('alice', $user->getUsername());
+        $this->assertSame('alice@example.com', $user->getEmail());
+    }
+
+    /**
+     * createUser() doit lever DuplicateUsernameException si le nom est déjà pris.
+     */
+    public function testCreateUserDuplicateUsernameThrowsDuplicateUsernameException(): void
+    {
+        $existingUser = $this->makeUser('alice', 'alice@example.com');
+        $this->userRepository->method('findByUsername')->willReturn($existingUser);
+
+        $this->expectException(DuplicateUsernameException::class);
+
+        $this->service->createUser('alice', 'autre@example.com', 'motdepasse1');
+    }
+
+    /**
+     * createUser() doit lever DuplicateEmailException si l'email est déjà utilisé.
+     */
+    public function testCreateUserDuplicateEmailThrowsDuplicateEmailException(): void
+    {
+        $existingUser = $this->makeUser('bob', 'alice@example.com');
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn($existingUser);
+
+        $this->expectException(DuplicateEmailException::class);
+
+        $this->service->createUser('newuser', 'alice@example.com', 'motdepasse1');
+    }
+
+    /**
+     * createUser() doit lever WeakPasswordException si le mot de passe est trop court.
+     */
+    public function testCreateUserTooShortPasswordThrowsWeakPasswordException(): void
+    {
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn(null);
+
+        $this->expectException(WeakPasswordException::class);
+
+        $this->service->createUser('alice', 'alice@example.com', '1234567');
+    }
+
+    /**
+     * createUser() avec exactement 8 caractères de mot de passe doit réussir.
+     */
+    public function testCreateUserMinimumPasswordLength(): void
+    {
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn(null);
+        $this->userRepository->method('create');
+
+        $user = $this->service->createUser('alice', 'alice@example.com', '12345678');
+
+        $this->assertInstanceOf(User::class, $user);
+    }
+
+    /**
+     * createUser() doit stocker un hash bcrypt, jamais le mot de passe en clair.
+     */
+    public function testCreateUserPasswordIsHashed(): void
+    {
+        $plainPassword = 'motdepasse1';
+
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn(null);
+        $this->userRepository->method('create');
+
+        $user = $this->service->createUser('alice', 'alice@example.com', $plainPassword);
+
+        $this->assertNotSame($plainPassword, $user->getPasswordHash());
+        $this->assertTrue(password_verify($plainPassword, $user->getPasswordHash()));
+    }
+
+    /**
+     * createUser() doit attribuer le rôle passé en paramètre.
+     */
+    public function testCreateUserWithEditorRole(): void
+    {
+        $this->userRepository->method('findByUsername')->willReturn(null);
+        $this->userRepository->method('findByEmail')->willReturn(null);
+        $this->userRepository->method('create');
+
+        $user = $this->service->createUser('alice', 'alice@example.com', 'motdepasse1', User::ROLE_EDITOR);
+
+        $this->assertSame(User::ROLE_EDITOR, $user->getRole());
+    }
+
+
+    // ── findAll ────────────────────────────────────────────────────
+
+    /**
+     * findAll() délègue au repository et retourne la liste.
+     */
+    public function testFindAllDelegatesToRepository(): void
+    {
+        $users = [$this->makeUser('alice', 'alice@example.com')];
+        $this->userRepository->method('findAll')->willReturn($users);
+
+        $this->assertSame($users, $this->service->findAll());
+    }
+
+
+    // ── findById ───────────────────────────────────────────────────
+
+    /**
+     * findById() retourne null si l'utilisateur est introuvable.
+     */
+    public function testFindByIdReturnsNullWhenMissing(): void
+    {
+        $this->userRepository->method('findById')->willReturn(null);
+
+        $this->assertNull($this->service->findById(99));
+    }
+
+    /**
+     * findById() retourne l'utilisateur trouvé.
+     */
+    public function testFindByIdReturnsUser(): void
+    {
+        $user = $this->makeUser('alice', 'alice@example.com');
+        $this->userRepository->method('findById')->with(1)->willReturn($user);
+
+        $this->assertSame($user, $this->service->findById(1));
+    }
+
+
+    // ── delete ─────────────────────────────────────────────────────
+
+    /**
+     * delete() délègue la suppression au repository.
+     */
+    public function testDeleteDelegatesToRepository(): void
+    {
+        $this->userRepository->method('findById')->with(5)->willReturn($this->makeUser('alice', 'alice@example.com'));
+        $this->userRepository->expects($this->once())->method('delete')->with(5);
+
+        $this->service->delete(5);
+    }
+
+
+    // ── updateRole ─────────────────────────────────────────────────
+
+    /**
+     * updateRole() doit déléguer au repository avec le rôle validé.
+     */
+    public function testUpdateRoleDelegatesToRepository(): void
+    {
+        $this->userRepository->method('findById')->with(3)->willReturn($this->makeUser('alice', 'alice@example.com'));
+        $this->userRepository->expects($this->once())
+            ->method('updateRole')
+            ->with(3, User::ROLE_EDITOR);
+
+        $this->service->updateRole(3, User::ROLE_EDITOR);
+    }
+
+    /**
+     * updateRole() doit lever InvalidArgumentException pour un rôle inconnu.
+     */
+    public function testUpdateRoleThrowsOnInvalidRole(): void
+    {
+        $this->userRepository->expects($this->never())->method('updateRole');
+
+        $this->expectException(InvalidRoleException::class);
+
+        $this->service->updateRole(1, 'superadmin');
+    }
+
+    /**
+     * updateRole() accepte les trois rôles valides sans lever d'exception.
+     */
+    #[\PHPUnit\Framework\Attributes\DataProvider('validRolesProvider')]
+    public function testUpdateRoleAcceptsAllValidRoles(string $role): void
+    {
+        $this->userRepository->method('findById')->with(1)->willReturn($this->makeUser('alice', 'alice@example.com'));
+        $this->userRepository->expects($this->once())->method('updateRole')->with(1, $role);
+
+        $this->service->updateRole(1, $role);
+    }
+
+    /**
+     * @return array<string, array{string}>
+     */
+    public static function validRolesProvider(): array
+    {
+        return [
+            'user'   => [User::ROLE_USER],
+            'editor' => [User::ROLE_EDITOR],
+            'admin'  => [User::ROLE_ADMIN],
+        ];
+    }
+
+
+    // ── Helpers ────────────────────────────────────────────────────
+
+    /**
+     * Crée un utilisateur de test avec un hash bcrypt du mot de passe fourni.
+     */
+    private function makeUser(string $username, string $email): User
+    {
+        return new User(1, $username, $email, password_hash('motdepasse1', PASSWORD_BCRYPT));
+    }
+}
diff --git a/tests/User/UserTest.php b/tests/User/UserTest.php
new file mode 100644
index 0000000..9310616
--- /dev/null
+++ b/tests/User/UserTest.php
@@ -0,0 +1,232 @@
+<?php
+declare(strict_types=1);
+
+namespace Tests\User;
+
+use App\User\User;
+use DateTime;
+use InvalidArgumentException;
+use PHPUnit\Framework\TestCase;
+
+/**
+ * Tests unitaires pour le modèle User.
+ *
+ * Vérifie la construction, la validation, les accesseurs
+ * et l'hydratation depuis un tableau de base de données.
+ */
+final class UserTest extends TestCase
+{
+
+    // ── Construction valide ────────────────────────────────────────
+
+    /**
+     * Un utilisateur construit avec des données valides ne doit pas lever d'exception.
+     */
+    public function testValidConstruction(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret123', PASSWORD_BCRYPT));
+
+        $this->assertSame(1, $user->getId());
+        $this->assertSame('alice', $user->getUsername());
+        $this->assertSame('alice@example.com', $user->getEmail());
+        $this->assertSame(User::ROLE_USER, $user->getRole());
+    }
+
+    /**
+     * Le rôle par défaut doit être 'user'.
+     */
+    public function testDefaultRole(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+
+        $this->assertSame(User::ROLE_USER, $user->getRole());
+        $this->assertFalse($user->isAdmin());
+        $this->assertFalse($user->isEditor());
+    }
+
+    /**
+     * Un utilisateur avec le rôle 'admin' doit être reconnu comme administrateur.
+     */
+    public function testAdminRole(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT), User::ROLE_ADMIN);
+
+        $this->assertTrue($user->isAdmin());
+        $this->assertFalse($user->isEditor());
+    }
+
+    /**
+     * Un utilisateur avec le rôle 'editor' doit être reconnu comme éditeur.
+     */
+    public function testEditorRole(): void
+    {
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT), User::ROLE_EDITOR);
+
+        $this->assertFalse($user->isAdmin());
+        $this->assertTrue($user->isEditor());
+    }
+
+    /**
+     * Une date de création explicite doit être conservée.
+     */
+    public function testExplicitCreationDate(): void
+    {
+        $date = new DateTime('2024-01-15 10:00:00');
+        $user = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT), User::ROLE_USER, $date);
+
+        $this->assertEquals($date, $user->getCreatedAt());
+    }
+
+    /**
+     * Sans date explicite, la date de création doit être définie à maintenant.
+     */
+    public function testDefaultCreationDate(): void
+    {
+        $before = new DateTime();
+        $user   = new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+        $after  = new DateTime();
+
+        $this->assertGreaterThanOrEqual($before, $user->getCreatedAt());
+        $this->assertLessThanOrEqual($after, $user->getCreatedAt());
+    }
+
+
+    // ── Validation — nom d'utilisateur ─────────────────────────────
+
+    /**
+     * Un nom d'utilisateur de moins de 3 caractères doit lever une exception.
+     */
+    public function testUsernameTooShort(): void
+    {
+        $this->expectException(InvalidArgumentException::class);
+        $this->expectExceptionMessageMatches('/3 caractères/');
+
+        new User(1, 'ab', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+    }
+
+    /**
+     * Un nom d'utilisateur de plus de 50 caractères doit lever une exception.
+     */
+    public function testUsernameTooLong(): void
+    {
+        $this->expectException(InvalidArgumentException::class);
+        $this->expectExceptionMessageMatches('/50 caractères/');
+
+        new User(1, str_repeat('a', 51), 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+    }
+
+    /**
+     * Un nom d'utilisateur de exactement 3 caractères doit être accepté.
+     */
+    public function testUsernameMinimumLength(): void
+    {
+        $user = new User(1, 'ali', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+
+        $this->assertSame('ali', $user->getUsername());
+    }
+
+    /**
+     * Un nom d'utilisateur de exactement 50 caractères doit être accepté.
+     */
+    public function testUsernameMaximumLength(): void
+    {
+        $username = str_repeat('a', 50);
+        $user     = new User(1, $username, 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT));
+
+        $this->assertSame($username, $user->getUsername());
+    }
+
+
+    // ── Validation — email ─────────────────────────────────────────
+
+    /**
+     * Un email invalide doit lever une exception.
+     */
+    public function testInvalidEmail(): void
+    {
+        $this->expectException(InvalidArgumentException::class);
+        $this->expectExceptionMessageMatches('/email/i');
+
+        new User(1, 'alice', 'pas-un-email', password_hash('secret', PASSWORD_BCRYPT));
+    }
+
+    /**
+     * Un email vide doit lever une exception.
+     */
+    public function testEmptyEmail(): void
+    {
+        $this->expectException(InvalidArgumentException::class);
+
+        new User(1, 'alice', '', password_hash('secret', PASSWORD_BCRYPT));
+    }
+
+
+    // ── Validation — hash du mot de passe ──────────────────────────
+
+    /**
+     * Un hash de mot de passe vide doit lever une exception.
+     */
+    public function testEmptyPasswordHash(): void
+    {
+        $this->expectException(InvalidArgumentException::class);
+        $this->expectExceptionMessageMatches('/hash/i');
+
+        new User(1, 'alice', 'alice@example.com', '');
+    }
+
+
+    // ── Validation — rôle ──────────────────────────────────────────
+
+    /**
+     * Un rôle invalide doit lever une exception.
+     */
+    public function testInvalidRole(): void
+    {
+        $this->expectException(InvalidArgumentException::class);
+        $this->expectExceptionMessageMatches('/rôle/i');
+
+        new User(1, 'alice', 'alice@example.com', password_hash('secret', PASSWORD_BCRYPT), 'superadmin');
+    }
+
+
+    // ── Hydratation depuis un tableau ──────────────────────────────
+
+    /**
+     * fromArray() doit hydrater correctement l'utilisateur depuis une ligne de base de données.
+     */
+    public function testFromArray(): void
+    {
+        $hash = password_hash('secret', PASSWORD_BCRYPT);
+
+        $user = User::fromArray([
+            'id'            => 42,
+            'username'      => 'bob',
+            'email'         => 'bob@example.com',
+            'password_hash' => $hash,
+            'role'          => 'editor',
+            'created_at'    => '2024-06-01 12:00:00',
+        ]);
+
+        $this->assertSame(42, $user->getId());
+        $this->assertSame('bob', $user->getUsername());
+        $this->assertSame('bob@example.com', $user->getEmail());
+        $this->assertSame($hash, $user->getPasswordHash());
+        $this->assertSame('editor', $user->getRole());
+        $this->assertTrue($user->isEditor());
+    }
+
+    /**
+     * fromArray() avec une date absente ne doit pas lever d'exception.
+     */
+    public function testFromArrayWithoutDate(): void
+    {
+        $user = User::fromArray([
+            'id'            => 1,
+            'username'      => 'alice',
+            'email'         => 'alice@example.com',
+            'password_hash' => password_hash('secret', PASSWORD_BCRYPT),
+        ]);
+
+        $this->assertInstanceOf(DateTime::class, $user->getCreatedAt());
+    }
+}
diff --git a/views/admin/categories/index.twig b/views/admin/categories/index.twig
new file mode 100644
index 0000000..d49e18a
--- /dev/null
+++ b/views/admin/categories/index.twig
@@ -0,0 +1,72 @@
+{% extends "layout.twig" %}
+
+{% block title %}Tableau de bord – Catégories{% endblock %}
+
+{% block content %}
+<h2>Gestion des catégories</h2>
+
+{% include 'partials/_admin_nav.twig' %}
+
+{% if error %}
+<div class="alert alert--danger">{{ error }}</div>
+{% endif %}
+
+{% if success %}
+<div class="alert alert--success">{{ success }}</div>
+{% endif %}
+
+<div class="category-create">
+    <h3 class="category-create__title">Ajouter une catégorie</h3>
+
+    <form method="post" action="/admin/categories/create" class="category-create__form">
+        <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+        <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+
+        <label for="name" class="category-create__label">
+            Nom
+            <input type="text" id="name" name="name" required maxlength="100"
+                   class="form-container__input category-create__input" placeholder="ex : Développement Web">
+        </label>
+
+        <button type="submit" class="btn btn--primary">Créer</button>
+    </form>
+
+    <p class="category-create__hint">Le slug URL est généré automatiquement depuis le nom.</p>
+</div>
+
+{% if categories is not empty %}
+<table class="admin-table">
+    <thead>
+        <tr>
+            <th>Nom</th>
+            <th>Slug</th>
+            <th>Actions</th>
+        </tr>
+    </thead>
+    <tbody>
+        {% for category in categories %}
+        <tr>
+            <td data-label="Nom"><strong>{{ category.name }}</strong></td>
+            <td data-label="Slug"><code>{{ category.slug }}</code></td>
+            <td data-label="Actions">
+                <div class="u-inline-actions">
+                    <form method="post" action="/admin/categories/delete/{{ category.id }}" class="u-inline-form">
+                        <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+                        <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+                        <button type="submit" class="btn btn--sm btn--danger"
+                            onclick="return confirm('Supprimer la catégorie « {{ category.name }} » ?
+
+Cette action est impossible si des articles lui sont rattachés.')">
+                            Supprimer
+                        </button>
+                    </form>
+                </div>
+            </td>
+        </tr>
+        {% endfor %}
+    </tbody>
+</table>
+{% else %}
+<p><em>Aucune catégorie créée.</em></p>
+{% endif %}
+{% endblock %}
diff --git a/views/admin/media/index.twig b/views/admin/media/index.twig
new file mode 100644
index 0000000..006193f
--- /dev/null
+++ b/views/admin/media/index.twig
@@ -0,0 +1,70 @@
+{% extends "layout.twig" %}
+
+{% block title %}Tableau de bord – Médias{% endblock %}
+
+{% block content %}
+<h2>Gestion des médias</h2>
+
+{% include 'partials/_admin_nav.twig' %}
+
+{% if error %}
+<div class="alert alert--danger">{{ error }}</div>
+{% endif %}
+
+{% if success %}
+<div class="alert alert--success">{{ success }}</div>
+{% endif %}
+
+{% if media is not empty %}
+<table class="admin-table">
+    <thead>
+        <tr>
+            <th>Aperçu</th>
+            <th>URL</th>
+            <th>Uploadé le</th>
+            <th>Actions</th>
+        </tr>
+    </thead>
+    <tbody>
+        {% for item in media %}
+        <tr>
+            <td data-label="Aperçu">
+                <div class="upload">
+                    <a href="{{ item.url }}" target="_blank" rel="noopener noreferrer" class="upload__thumb-link">
+                        <img src="{{ item.url }}" alt="" class="upload__thumb">
+                    </a>
+                </div>
+            </td>
+            <td data-label="URL">
+                <div class="upload">
+                    <code class="upload__url">{{ item.url }}</code>
+                    <div class="upload__actions">
+                        <button type="button" class="btn btn--sm btn--secondary"
+                            onclick="navigator.clipboard.writeText('{{ item.url }}').then(function() {
+                                var btn = this; btn.textContent = 'Copié !';
+                                setTimeout(function() { btn.textContent = 'Copier l\'URL'; }, 1500);
+                            }.bind(this))">Copier l'URL</button>
+                    </div>
+                </div>
+            </td>
+            <td data-label="Uploadé le">{{ item.createdAt|date("d/m/Y H:i") }}</td>
+            <td data-label="Actions">
+                <div class="u-inline-actions">
+                    <form method="post" action="/admin/media/delete/{{ item.id }}" class="u-inline-form">
+                        <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+                        <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+                        <button type="submit" class="btn btn--sm btn--danger"
+                            onclick="return confirm('Supprimer ce fichier ?\n\nAttention : s\'il est utilisé dans un article, l\'image n\'apparaîtra plus.')">
+                            Supprimer
+                        </button>
+                    </form>
+                </div>
+            </td>
+        </tr>
+        {% endfor %}
+    </tbody>
+</table>
+{% else %}
+<p><em>Aucun fichier uploadé.</em></p>
+{% endif %}
+{% endblock %}
diff --git a/views/admin/posts/form.twig b/views/admin/posts/form.twig
new file mode 100644
index 0000000..c902645
--- /dev/null
+++ b/views/admin/posts/form.twig
@@ -0,0 +1,139 @@
+{% extends "layout.twig" %}
+
+{% block title %}
+{% if post is defined and post is not null and post.id > 0 %}Éditer l'article{% else %}Créer un article{% endif %}
+{% endblock %}
+
+{% block styles %}
+<link rel="stylesheet" href="/assets/vendor/trumbowyg/ui/trumbowyg.min.css">
+{% endblock %}
+
+{% block content %}
+<div class="form-container">
+    <div class="form-container__header">
+        <h2 class="form-container__title">
+            {% if post is defined and post is not null and post.id > 0 %}Éditer l'article{% else %}Créer un article{% endif %}
+        </h2>
+    </div>
+
+    {% include 'partials/_admin_nav.twig' %}
+
+    <div class="form-container__panel">
+        {% if error %}
+        <div class="alert alert--danger">{{ error }}</div>
+        {% endif %}
+
+        <form method="post" action="{{ action }}" class="form-container__form">
+            <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+            <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+
+            {% if post is defined and post is not null %}
+            <p class="form-container__field">
+                <label class="form-container__label">
+                    <span>Auteur</span>
+                    <input type="text" value="{{ post.authorUsername ?? 'inconnu' }}" disabled
+                        class="form-container__input form-container__input--disabled">
+                </label>
+            </p>
+            {% endif %}
+
+            <p class="form-container__field">
+                <label for="title" class="form-container__label">
+                    <span>Titre</span>
+                    <input type="text" id="title" name="title" value="{{ post.title|default('') }}" required maxlength="255"
+                        class="form-container__input">
+                </label>
+            </p>
+
+            {% if post is defined and post is not null and post.id > 0 %}
+            <p class="form-container__field">
+                <label for="slug" class="form-container__label">
+                    <span>Slug URL</span>
+                    <input type="text" id="slug" name="slug" value="{{ post.storedSlug }}" pattern="[a-z0-9]+(-[a-z0-9]+)*"
+                        maxlength="255" title="Lettres minuscules, chiffres et tirets uniquement"
+                        class="form-container__input">
+                </label>
+                <small class="form-container__hint">(URL actuelle : <a href="/article/{{ post.storedSlug }}" target="_blank">/article/{{ post.storedSlug }}</a>)</small>
+            </p>
+            {% endif %}
+
+            <p class="form-container__field">
+                <label for="category_id" class="form-container__label">
+                    <span>Catégorie</span>
+                    <select id="category_id" name="category_id" class="form-container__select">
+                        <option value="">— Sans catégorie —</option>
+                        {% for category in categories %}
+                        <option value="{{ category.id }}" {% if post is not null and post.categoryId==category.id %}selected{% endif %}>
+                            {{ category.name }}
+                        </option>
+                        {% endfor %}
+                    </select>
+                </label>
+            </p>
+
+            <p class="form-container__field">
+                <label for="editor" class="form-container__label">
+                    <span>Contenu</span>
+                    <textarea id="editor" name="content" required class="form-container__textarea">{{ post.content|default('') }}</textarea>
+                </label>
+            </p>
+
+            <div class="form-container__actions">
+                <div class="form-container__action">
+                    <button type="submit" class="btn btn--primary btn--lg btn--full">
+                        {% if post is defined and post is not null and post.id > 0 %}Mettre à jour{% else %}Enregistrer{% endif %}
+                    </button>
+                </div>
+                <div class="form-container__action">
+                    <a href="/admin/posts" class="btn btn--secondary btn--lg btn--full">Annuler</a>
+                </div>
+            </div>
+        </form>
+
+        {% if post is defined and post is not null and post.id > 0 %}
+        <div class="form-container__footer">
+            <small>
+                Créé le : {{ post.createdAt|date("d/m/Y à H:i") }}<br>
+                Modifié le : {{ post.updatedAt|date("d/m/Y à H:i") }}
+            </small>
+        </div>
+        {% endif %}
+    </div>
+</div>
+{% endblock %}
+
+{% block scripts %}
+<script src="/assets/vendor/jquery.min.js"></script>
+<script src="/assets/vendor/trumbowyg/trumbowyg.min.js"></script>
+<script src="/assets/vendor/trumbowyg/langs/fr.min.js"></script>
+<script src="/assets/vendor/trumbowyg/plugins/upload/trumbowyg.upload.min.js"></script>
+
+<script>
+    $(function () {
+        $('#editor').trumbowyg({
+            lang: 'fr',
+            btns: [
+                ['viewHTML'],
+                ['undo', 'redo'],
+                ['formatting'],
+                ['strong', 'em', 'underline'],
+                ['unorderedList', 'orderedList'],
+                ['justifyLeft', 'justifyCenter', 'justifyRight', 'justifyFull'],
+                ['link'],
+                ['upload', 'insertImage'],
+                ['removeformat']
+            ],
+            semantic: false,
+            imageWidthModalEdit: true,
+            plugins: {
+                upload: {
+                    serverPath: '/admin/media/upload',
+                    fileFieldName: 'file',
+                    urlPropertyName: 'url',
+                    statusPropertyName: 'success'
+                }
+            }
+        });
+    });
+</script>
+{% endblock %}
diff --git a/views/admin/posts/index.twig b/views/admin/posts/index.twig
new file mode 100644
index 0000000..7de1574
--- /dev/null
+++ b/views/admin/posts/index.twig
@@ -0,0 +1,107 @@
+{% extends "layout.twig" %}
+
+{% block title %}Tableau de bord – Articles{% endblock %}
+
+{% block content %}
+<h2>Gestion des articles</h2>
+
+{% include 'partials/_admin_nav.twig' %}
+
+<p>
+    <a href="/admin/posts/edit/0" class="btn btn--primary">+ Ajouter un article</a>
+</p>
+
+<form method="get" action="/admin/posts" class="search-bar">
+    {% if activeCategory %}
+    <input type="hidden" name="categorie" value="{{ activeCategory.slug }}">
+    {% endif %}
+    <input type="search" name="q" value="{{ searchQuery }}"
+           placeholder="Rechercher un article…" class="search-bar__input" aria-label="Recherche">
+    <button type="submit" class="search-bar__btn">Rechercher</button>
+    {% if searchQuery %}
+    <a href="/admin/posts{% if activeCategory %}?categorie={{ activeCategory.slug }}{% endif %}" class="search-bar__reset">✕</a>
+    {% endif %}
+</form>
+
+{% if searchQuery %}
+<p class="search-bar__info">
+    {% if posts is not empty %}
+        {{ posts|length }} résultat{{ posts|length > 1 ? 's' : '' }} pour « {{ searchQuery }} »
+    {% else %}
+        Aucun résultat pour « {{ searchQuery }} »
+    {% endif %}
+</p>
+{% endif %}
+
+{% if categories is not empty %}
+<nav class="category-filter">
+    <a href="/admin/posts"
+       class="category-filter__item{% if activeCategory is null %} category-filter__item--active{% endif %}">
+        Tous
+    </a>
+    {% for category in categories %}
+    <a href="/admin/posts?categorie={{ category.slug }}"
+       class="category-filter__item{% if activeCategory and activeCategory.id == category.id %} category-filter__item--active{% endif %}">
+        {{ category.name }}
+    </a>
+    {% endfor %}
+</nav>
+{% endif %}
+
+{% if error %}
+<div class="alert alert--danger">{{ error }}</div>
+{% endif %}
+
+{% if success %}
+<div class="alert alert--success">{{ success }}</div>
+{% endif %}
+
+{% if posts is not empty %}
+<table class="admin-table">
+    <thead>
+        <tr>
+            <th>Titre</th>
+            <th>Catégorie</th>
+            <th>Auteur</th>
+            <th>Créé le</th>
+            <th>Modifié le</th>
+            <th>Actions</th>
+        </tr>
+    </thead>
+    <tbody>
+        {% for post in posts %}
+        <tr>
+            <td data-label="Titre"><strong>{{ post.title }}</strong></td>
+            <td data-label="Catégorie">
+                {% if post.categoryName %}
+                    <a href="/admin/posts?categorie={{ post.categorySlug }}"
+                       class="badge badge--category">{{ post.categoryName }}</a>
+                {% else %}
+                    <span class="admin-table__muted">—</span>
+                {% endif %}
+            </td>
+            <td data-label="Auteur">{{ post.authorUsername ?? 'inconnu' }}</td>
+            <td data-label="Créé le">{{ post.createdAt|date("d/m/Y H:i") }}</td>
+            <td data-label="Modifié le">{{ post.updatedAt|date("d/m/Y H:i") }}</td>
+            <td data-label="Actions">
+                <div class="u-inline-actions">
+                    <a href="/admin/posts/edit/{{ post.id }}" class="btn btn--sm btn--secondary">Éditer</a>
+
+                    <form method="post" action="/admin/posts/delete/{{ post.id }}" class="u-inline-form">
+                        <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+                        <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+                        <button type="submit" class="btn btn--sm btn--danger"
+                            onclick="return confirm('Supprimer cet article ?')">
+                            Supprimer
+                        </button>
+                    </form>
+                </div>
+            </td>
+        </tr>
+        {% endfor %}
+    </tbody>
+</table>
+{% else %}
+<p><em>{% if searchQuery %}Aucun résultat pour « {{ searchQuery }} ».{% else %}Aucun article à gérer.{% endif %}</em></p>
+{% endif %}
+{% endblock %}
diff --git a/views/admin/users/form.twig b/views/admin/users/form.twig
new file mode 100644
index 0000000..5e2f59f
--- /dev/null
+++ b/views/admin/users/form.twig
@@ -0,0 +1,74 @@
+{% extends "layout.twig" %}
+
+{% block title %}Tableau de bord – Créer un utilisateur{% endblock %}
+
+{% block content %}
+<h2>Créer un utilisateur</h2>
+
+{% include 'partials/_admin_nav.twig' %}
+
+<div class="form-container form-container--narrow">
+    <div class="form-container__panel">
+        {% if error %}
+        <div class="alert alert--danger">{{ error }}</div>
+        {% endif %}
+
+        <form method="post" action="/admin/users/create" class="form-container__form">
+            <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+            <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+
+            <p class="form-container__field">
+                <label for="username" class="form-container__label">
+                    <span>Nom d'utilisateur</span>
+                    <input type="text" id="username" name="username" required minlength="3" maxlength="50" autofocus
+                        class="form-container__input">
+                </label>
+                <small class="form-container__hint">Minimum 3 caractères</small>
+            </p>
+
+            <p class="form-container__field">
+                <label for="email" class="form-container__label">
+                    <span>Email</span>
+                    <input type="email" id="email" name="email" required class="form-container__input">
+                </label>
+            </p>
+
+            <p class="form-container__field">
+                <label for="password" class="form-container__label">
+                    <span>Mot de passe</span>
+                    <input type="password" id="password" name="password" required minlength="8"
+                        class="form-container__input">
+                </label>
+                <small class="form-container__hint">Minimum 8 caractères</small>
+            </p>
+
+            <p class="form-container__field">
+                <label for="password_confirm" class="form-container__label">
+                    <span>Confirmer le mot de passe</span>
+                    <input type="password" id="password_confirm" name="password_confirm" required minlength="8"
+                        class="form-container__input">
+                </label>
+            </p>
+
+            <p class="form-container__field">
+                <label for="role" class="form-container__label">
+                    <span>Rôle</span>
+                    <select id="role" name="role" class="form-container__select">
+                        <option value="user">Utilisateur</option>
+                        <option value="editor">Éditeur</option>
+                    </select>
+                </label>
+            </p>
+
+            <div class="form-container__actions">
+                <div class="form-container__action">
+                    <button type="submit" class="btn btn--primary btn--lg btn--full">Créer l'utilisateur</button>
+                </div>
+                <div class="form-container__action">
+                    <a href="/admin/users" class="btn btn--secondary btn--lg btn--full">Annuler</a>
+                </div>
+            </div>
+        </form>
+    </div>
+</div>
+{% endblock %}
diff --git a/views/admin/users/index.twig b/views/admin/users/index.twig
new file mode 100644
index 0000000..11841b9
--- /dev/null
+++ b/views/admin/users/index.twig
@@ -0,0 +1,95 @@
+{% extends "layout.twig" %}
+
+{% block title %}Tableau de bord – Utilisateurs{% endblock %}
+
+{% block content %}
+<h2>Gestion des utilisateurs</h2>
+
+{% include 'partials/_admin_nav.twig' %}
+
+<p>
+    <a href="/admin/users/create" class="btn btn--primary">+ Ajouter un utilisateur</a>
+</p>
+
+{% if error %}
+<div class="alert alert--danger">{{ error }}</div>
+{% endif %}
+
+{% if success %}
+<div class="alert alert--success">{{ success }}</div>
+{% endif %}
+
+{% if users is not empty %}
+<table class="admin-table">
+    <thead>
+        <tr>
+            <th>Nom d'utilisateur</th>
+            <th>Email</th>
+            <th>Rôle</th>
+            <th>Inscrit le</th>
+            <th>Modifier le rôle</th>
+            <th>Actions</th>
+        </tr>
+    </thead>
+    <tbody>
+        {% for user in users %}
+        <tr>
+            <td data-label="Nom d'utilisateur">
+                <strong>{{ user.username }}</strong>
+                {% if user.id == currentUserId %}
+                    <em class="admin-table__self">(vous)</em>
+                {% endif %}
+            </td>
+            <td data-label="Email">{{ user.email }}</td>
+            <td data-label="Rôle">
+                {% if user.isAdmin() %}
+                    <span class="badge badge--admin">Admin</span>
+                {% elseif user.isEditor() %}
+                    <span class="badge badge--editor">Éditeur</span>
+                {% else %}
+                    <span class="badge badge--user">Utilisateur</span>
+                {% endif %}
+            </td>
+            <td data-label="Inscrit le">{{ user.createdAt|date("d/m/Y") }}</td>
+            <td data-label="Modifier le rôle">
+                {% if not user.isAdmin() and user.id != currentUserId %}
+                <form method="post" action="/admin/users/role/{{ user.id }}" class="u-inline-form">
+                    <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+                    <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+                    <div class="u-inline-actions">
+                        <select name="role" class="admin-table__role-select">
+                            <option value="user"   {% if user.role == 'user'   %}selected{% endif %}>Utilisateur</option>
+                            <option value="editor" {% if user.role == 'editor' %}selected{% endif %}>Éditeur</option>
+                            <option value="admin"  {% if user.role == 'admin'  %}selected{% endif %}>Admin</option>
+                        </select>
+                        <button type="submit" class="btn btn--sm btn--secondary">Modifier</button>
+                    </div>
+                </form>
+                {% else %}
+                    <span class="admin-table__muted">—</span>
+                {% endif %}
+            </td>
+            <td data-label="Actions">
+                {% if not user.isAdmin() and user.id != currentUserId %}
+                <div class="u-inline-actions">
+                    <form method="post" action="/admin/users/delete/{{ user.id }}" class="u-inline-form">
+                        <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+                        <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+                        <button type="submit" class="btn btn--sm btn--danger"
+                            onclick="return confirm('Supprimer l\'utilisateur « {{ user.username }} » ?')">
+                            Supprimer
+                        </button>
+                    </form>
+                </div>
+                {% else %}
+                    <span class="admin-table__muted">—</span>
+                {% endif %}
+            </td>
+        </tr>
+        {% endfor %}
+    </tbody>
+</table>
+{% else %}
+<p><em>Aucun utilisateur.</em></p>
+{% endif %}
+{% endblock %}
diff --git a/views/emails/password-reset.twig b/views/emails/password-reset.twig
new file mode 100644
index 0000000..6ee137f
--- /dev/null
+++ b/views/emails/password-reset.twig
@@ -0,0 +1,82 @@
+<!DOCTYPE html>
+<html lang="fr">
+<head>
+    <meta charset="UTF-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0">
+    <title>Réinitialisation de mot de passe</title>
+    <style>
+        /* CSS inline — requis pour la compatibilité avec les clients mail */
+        body {
+            font-family: Arial, sans-serif;
+            font-size: 16px;
+            color: #212529;
+            background: #f8f9fa;
+            margin: 0;
+            padding: 0;
+        }
+        .wrapper {
+            max-width: 560px;
+            margin: 40px auto;
+            background: #ffffff;
+            border: 1px solid #dee2e6;
+            border-radius: 4px;
+            padding: 40px;
+        }
+        .logo {
+            font-size: 1.4rem;
+            font-weight: bold;
+            margin-bottom: 24px;
+            color: #212529;
+        }
+        p {
+            line-height: 1.6;
+            margin: 0 0 16px;
+        }
+        .btn {
+            display: inline-block;
+            background: #007bff;
+            color: #ffffff !important;
+            text-decoration: none;
+            padding: 12px 24px;
+            border-radius: 4px;
+            font-size: 16px;
+            margin: 8px 0 24px;
+        }
+        .url {
+            font-size: 13px;
+            color: #6c757d;
+            word-break: break-all;
+        }
+        .footer {
+            margin-top: 32px;
+            font-size: 13px;
+            color: #6c757d;
+            border-top: 1px solid #dee2e6;
+            padding-top: 16px;
+        }
+    </style>
+</head>
+<body>
+    <div class="wrapper">
+        <div class="logo">Slim Blog</div>
+
+        <p>Bonjour <strong>{{ username }}</strong>,</p>
+
+        <p>Vous avez demandé la réinitialisation de votre mot de passe. Cliquez sur le bouton ci-dessous pour choisir un nouveau mot de passe :</p>
+
+        <p>
+            <a href="{{ resetUrl }}" class="btn">Réinitialiser mon mot de passe</a>
+        </p>
+
+        <p class="url">Si le bouton ne fonctionne pas, copiez ce lien dans votre navigateur :<br>{{ resetUrl }}</p>
+
+        <p>Ce lien est valable <strong>{{ ttlMinutes }} minutes</strong>. Passé ce délai, vous devrez faire une nouvelle demande.</p>
+
+        <p>Si vous n'êtes pas à l'origine de cette demande, ignorez simplement cet email. Votre mot de passe ne sera pas modifié.</p>
+
+        <div class="footer">
+            Cet email a été envoyé automatiquement, merci de ne pas y répondre.
+        </div>
+    </div>
+</body>
+</html>
diff --git a/views/layout.twig b/views/layout.twig
new file mode 100644
index 0000000..738991c
--- /dev/null
+++ b/views/layout.twig
@@ -0,0 +1,30 @@
+<!DOCTYPE html>
+<html lang="fr">
+
+<head>
+    <meta charset="UTF-8">
+    <meta name="viewport" content="width=device-width, initial-scale=1.0">
+    <title>{% block title %}Slim Blog{% endblock %}</title>
+    {% block meta %}
+    <meta name="description" content="Un blog propulsé par Slim 4.">
+    {% endblock %}
+    <link rel="icon" type="image/png" href="/favicon.png">
+    <link rel="stylesheet" href="/assets/css/main.css">
+    {% block styles %}{% endblock %}
+</head>
+
+<body>
+
+    {% include 'partials/_header.twig' %}
+
+    <main>
+        {% block content %}{% endblock %}
+    </main>
+
+    {% include 'partials/_footer.twig' %}
+
+    {% block scripts %}{% endblock %}
+
+</body>
+
+</html>
diff --git a/views/pages/account/password-change.twig b/views/pages/account/password-change.twig
new file mode 100644
index 0000000..b657be7
--- /dev/null
+++ b/views/pages/account/password-change.twig
@@ -0,0 +1,60 @@
+{% extends "layout.twig" %}
+
+{% block title %}Mon compte – Changer le mot de passe{% endblock %}
+
+{% block content %}
+<div class="form-container form-container--narrow">
+    <div class="form-container__panel">
+        <div class="form-container__header">
+            <h2 class="form-container__title">Changer le mot de passe</h2>
+        </div>
+
+        {% if error %}
+        <div class="alert alert--danger">{{ error }}</div>
+        {% endif %}
+
+        {% if success %}
+        <div class="alert alert--success">{{ success }}</div>
+        {% endif %}
+
+        <form method="post" action="/account/password" class="form-container__form">
+            <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+            <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+
+            <p class="form-container__field">
+                <label for="current_password" class="form-container__label">
+                    <span>Mot de passe actuel</span>
+                    <input type="password" id="current_password" name="current_password" required autofocus
+                        class="form-container__input">
+                </label>
+            </p>
+
+            <p class="form-container__field">
+                <label for="new_password" class="form-container__label">
+                    <span>Nouveau mot de passe</span>
+                    <input type="password" id="new_password" name="new_password" required minlength="8"
+                        class="form-container__input">
+                </label>
+                <small class="form-container__hint">Minimum 8 caractères</small>
+            </p>
+
+            <p class="form-container__field">
+                <label for="new_password_confirm" class="form-container__label">
+                    <span>Confirmer le nouveau mot de passe</span>
+                    <input type="password" id="new_password_confirm" name="new_password_confirm" required minlength="8"
+                        class="form-container__input">
+                </label>
+            </p>
+
+            <div class="form-container__actions">
+                <div class="form-container__action">
+                    <button type="submit" class="btn btn--primary btn--lg btn--full">Mettre à jour</button>
+                </div>
+                <div class="form-container__action">
+                    <a href="{{ back_url }}" class="btn btn--secondary btn--lg btn--full">Annuler</a>
+                </div>
+            </div>
+        </form>
+    </div>
+</div>
+{% endblock %}
diff --git a/views/pages/auth/login.twig b/views/pages/auth/login.twig
new file mode 100644
index 0000000..49d9f4c
--- /dev/null
+++ b/views/pages/auth/login.twig
@@ -0,0 +1,50 @@
+{% extends "layout.twig" %}
+
+{% block title %}Connexion – Slim Blog{% endblock %}
+
+{% block content %}
+<div class="form-container form-container--narrow">
+    <div class="form-container__panel">
+        <div class="form-container__header">
+            <h2 class="form-container__title">Connexion</h2>
+        </div>
+
+        {% if error %}
+        <div class="alert alert--danger">{{ error }}</div>
+        {% endif %}
+
+        {% if success %}
+        <div class="alert alert--success">{{ success }}</div>
+        {% endif %}
+
+        <form method="post" action="/auth/login" class="form-container__form">
+            <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+            <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+
+            <p class="form-container__field">
+                <label for="username" class="form-container__label">
+                    <span>Nom d'utilisateur</span>
+                    <input type="text" id="username" name="username" required autofocus class="form-container__input">
+                </label>
+            </p>
+
+            <p class="form-container__field">
+                <label for="password" class="form-container__label">
+                    <span>Mot de passe</span>
+                    <input type="password" id="password" name="password" required class="form-container__input">
+                </label>
+            </p>
+
+            <div class="form-container__actions">
+                <div class="form-container__action">
+                    <button type="submit" class="btn btn--primary btn--lg btn--full">Se connecter</button>
+                </div>
+            </div>
+        </form>
+
+        <div class="form-container__footer">
+            <a href="/password/forgot">Mot de passe oublié ?</a>
+        </div>
+    </div>
+</div>
+{% endblock %}
diff --git a/views/pages/auth/password-forgot.twig b/views/pages/auth/password-forgot.twig
new file mode 100644
index 0000000..e6d1567
--- /dev/null
+++ b/views/pages/auth/password-forgot.twig
@@ -0,0 +1,44 @@
+{% extends "layout.twig" %}
+
+{% block title %}Mot de passe oublié – Slim Blog{% endblock %}
+
+{% block content %}
+<div class="form-container form-container--narrow">
+    <div class="form-container__panel">
+        <div class="form-container__header">
+            <h2 class="form-container__title">Mot de passe oublié</h2>
+            <p class="form-container__intro">Saisissez votre adresse email. Si elle est associée à un compte, vous recevrez un lien de réinitialisation.</p>
+        </div>
+
+        {% if error %}
+        <div class="alert alert--danger">{{ error }}</div>
+        {% endif %}
+
+        {% if success %}
+        <div class="alert alert--success">{{ success }}</div>
+        {% endif %}
+
+        <form method="post" action="/password/forgot" class="form-container__form">
+            <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+            <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+
+            <p class="form-container__field">
+                <label for="email" class="form-container__label">
+                    <span>Adresse email</span>
+                    <input type="email" id="email" name="email" required autofocus class="form-container__input">
+                </label>
+            </p>
+
+            <div class="form-container__actions">
+                <div class="form-container__action">
+                    <button type="submit" class="btn btn--primary btn--lg btn--full">Envoyer le lien</button>
+                </div>
+            </div>
+        </form>
+
+        <div class="form-container__footer">
+            <a href="/auth/login">← Retour à la connexion</a>
+        </div>
+    </div>
+</div>
+{% endblock %}
diff --git a/views/pages/auth/password-reset.twig b/views/pages/auth/password-reset.twig
new file mode 100644
index 0000000..75cd206
--- /dev/null
+++ b/views/pages/auth/password-reset.twig
@@ -0,0 +1,46 @@
+{% extends "layout.twig" %}
+
+{% block title %}Réinitialisation du mot de passe – Slim Blog{% endblock %}
+
+{% block content %}
+<div class="form-container form-container--narrow">
+    <div class="form-container__panel">
+        <div class="form-container__header">
+            <h2 class="form-container__title">Nouveau mot de passe</h2>
+        </div>
+
+        {% if error %}
+        <div class="alert alert--danger">{{ error }}</div>
+        {% endif %}
+
+        <form method="post" action="/password/reset" class="form-container__form">
+            <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+            <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+            <input type="hidden" name="token" value="{{ token }}">
+
+            <p class="form-container__field">
+                <label for="new_password" class="form-container__label">
+                    <span>Nouveau mot de passe</span>
+                    <input type="password" id="new_password" name="new_password"
+                        required minlength="8" autofocus class="form-container__input">
+                </label>
+                <small class="form-container__hint">Minimum 8 caractères</small>
+            </p>
+
+            <p class="form-container__field">
+                <label for="new_password_confirm" class="form-container__label">
+                    <span>Confirmer le mot de passe</span>
+                    <input type="password" id="new_password_confirm" name="new_password_confirm"
+                        required minlength="8" class="form-container__input">
+                </label>
+            </p>
+
+            <div class="form-container__actions">
+                <div class="form-container__action">
+                    <button type="submit" class="btn btn--primary btn--lg btn--full">Réinitialiser</button>
+                </div>
+            </div>
+        </form>
+    </div>
+</div>
+{% endblock %}
diff --git a/views/pages/error.twig b/views/pages/error.twig
new file mode 100644
index 0000000..a94c421
--- /dev/null
+++ b/views/pages/error.twig
@@ -0,0 +1,11 @@
+{% extends "layout.twig" %}
+
+{% block title %}{{ status }} – Slim Blog{% endblock %}
+
+{% block content %}
+<div class="error-page">
+    <h2 class="error-page__code">{{ status }}</h2>
+    <p class="error-page__message">{{ message }}</p>
+    <p><a href="/">← Retour à l'accueil</a></p>
+</div>
+{% endblock %}
diff --git a/views/pages/home.twig b/views/pages/home.twig
new file mode 100644
index 0000000..3dd660f
--- /dev/null
+++ b/views/pages/home.twig
@@ -0,0 +1,94 @@
+{% extends "layout.twig" %}
+
+{% block title %}Slim Blog{% endblock %}
+
+{% block meta %}
+<meta name="description" content="{% if activeCategory %}Articles de la catégorie {{ activeCategory.name }} — {% endif %}Slim Blog, un blog propulsé par Slim 4.">
+<meta property="og:type"        content="website">
+<meta property="og:title"       content="Slim Blog">
+<meta property="og:description" content="Un blog propulsé par Slim 4.">
+<meta property="og:url"         content="{{ app_url }}/">
+{% endblock %}
+
+{% block content %}
+
+<form method="get" action="/" class="search-bar">
+    {% if activeCategory %}
+    <input type="hidden" name="categorie" value="{{ activeCategory.slug }}">
+    {% endif %}
+    <input type="search" name="q" value="{{ searchQuery }}"
+           placeholder="Rechercher un article…" class="search-bar__input" aria-label="Recherche">
+    <button type="submit" class="search-bar__btn">Rechercher</button>
+    {% if searchQuery %}
+    <a href="/{% if activeCategory %}?categorie={{ activeCategory.slug }}{% endif %}" class="search-bar__reset">✕</a>
+    {% endif %}
+</form>
+
+{% if searchQuery %}
+<p class="search-bar__info">
+    {% if posts is not empty %}
+        {{ posts|length }} résultat{{ posts|length > 1 ? 's' : '' }} pour « {{ searchQuery }} »
+    {% else %}
+        Aucun résultat pour « {{ searchQuery }} »
+    {% endif %}
+</p>
+{% endif %}
+
+{% if categories is not empty %}
+<nav class="category-filter">
+    <a href="/"
+       class="category-filter__item{% if activeCategory is null %} category-filter__item--active{% endif %}">
+        Tous
+    </a>
+    {% for category in categories %}
+    <a href="/?categorie={{ category.slug }}"
+       class="category-filter__item{% if activeCategory and activeCategory.id == category.id %} category-filter__item--active{% endif %}">
+        {{ category.name }}
+    </a>
+    {% endfor %}
+</nav>
+{% endif %}
+
+<div class="card-list card-list--contained">
+{% for post in posts %}
+    {% set thumb = post_thumbnail(post) %}
+    <article class="card">
+
+        <a href="{{ post_url(post) }}" class="card__thumb-link" tabindex="-1" aria-hidden="true">
+            {% if thumb %}
+            <img class="card__thumb" src="{{ thumb }}" alt="">
+            {% else %}
+            <span class="card__initials" aria-hidden="true">{{ post_initials(post) }}</span>
+            {% endif %}
+        </a>
+
+        <div class="card__content">
+            <div class="card__body">
+                <h2 class="card__title">
+                    <a href="{{ post_url(post) }}" class="card__title-link">{{ post.title }}</a>
+                </h2>
+
+                <div class="card__meta">
+                    <small>
+                        Publié le {{ post.createdAt|date("d/m/Y à H:i") }}
+                            par <strong>{{ post.authorUsername ?? 'inconnu' }}</strong>
+                    </small>
+                    {% if post.categoryName %}
+                    <a href="/?categorie={{ post.categorySlug }}" class="badge badge--category">{{ post.categoryName }}</a>
+                    {% endif %}
+                </div>
+
+                <p class="card__excerpt">{{ post_excerpt(post) }}</p>
+            </div>
+
+            <div class="card__actions">
+                <a href="{{ post_url(post) }}" class="card__actions-link">Lire la suite →</a>
+            </div>
+        </div>
+
+    </article>
+{% else %}
+    <p>Aucun article publié{% if searchQuery %} pour « {{ searchQuery }} »{% elseif activeCategory %} dans cette catégorie{% endif %}.</p>
+{% endfor %}
+</div>
+{% endblock %}
diff --git a/views/pages/post/detail.twig b/views/pages/post/detail.twig
new file mode 100644
index 0000000..37f8682
--- /dev/null
+++ b/views/pages/post/detail.twig
@@ -0,0 +1,48 @@
+{% extends "layout.twig" %}
+
+{% block title %}{{ post.title }} – Slim Blog{% endblock %}
+
+{% block meta %}
+{% set excerpt = post_excerpt(post, 160) %}
+{% set thumb   = post_thumbnail(post) %}
+<meta name="description" content="{{ excerpt }}">
+<meta property="og:type"        content="article">
+<meta property="og:title"       content="{{ post.title }}">
+<meta property="og:description" content="{{ excerpt }}">
+<meta property="og:url"         content="{{ app_url }}{{ post_url(post) }}">
+{% if thumb %}
+<meta property="og:image"       content="{{ app_url }}{{ thumb }}">
+{% endif %}
+{% endblock %}
+
+{% block content %}
+<article class="post">
+    <h1>{{ post.title }}</h1>
+
+    <div class="post__meta">
+        <small>
+            Publié le {{ post.createdAt|date("d/m/Y à H:i") }}
+                par <strong>{{ post.authorUsername ?? 'inconnu' }}</strong>
+        </small>
+        {% if post.categoryName %}
+        <a href="/?categorie={{ post.categorySlug }}" class="badge badge--category">{{ post.categoryName }}</a>
+        {% endif %}
+    </div>
+
+    {% if post.updatedAt != post.createdAt %}
+    <div class="post__updated">
+        <small><em>Mis à jour le {{ post.updatedAt|date("d/m/Y à H:i") }}</em></small>
+    </div>
+    {% endif %}
+
+    <div class="post__content">
+        {# Le contenu est déjà sanitisé par HtmlSanitizer via PostService #}
+        {{ post.content|raw }}
+    </div>
+
+    <hr>
+    <p>
+        <a href="/">← Retour aux articles</a>
+    </p>
+</article>
+{% endblock %}
diff --git a/views/partials/_admin_nav.twig b/views/partials/_admin_nav.twig
new file mode 100644
index 0000000..43c138e
--- /dev/null
+++ b/views/partials/_admin_nav.twig
@@ -0,0 +1,10 @@
+<nav class="admin-nav">
+    <a href="/admin/posts">Articles</a>
+    | <a href="/admin/media">Médias</a>
+    {% if session.role is defined and session.role in ['admin', 'editor'] %}
+    | <a href="/admin/categories">Catégories</a>
+    {% endif %}
+    {% if session.role is defined and session.role == 'admin' %}
+    | <a href="/admin/users">Utilisateurs</a>
+    {% endif %}
+</nav>
diff --git a/views/partials/_footer.twig b/views/partials/_footer.twig
new file mode 100644
index 0000000..9502a0b
--- /dev/null
+++ b/views/partials/_footer.twig
@@ -0,0 +1,11 @@
+<footer class="site-footer">
+    <p>
+        &copy; {{ "now"|date("Y") }} Slim Blog – Made with ❤️ by <a href="https://netig.net">NETig</a> –
+        <a href="https://creativecommons.org/licenses/by-sa/4.0/deed.fr" rel="license">CC BY-SA 4.0</a>
+    </p>
+    <nav>
+        {# TODO : remplacer par les vraies URLs une fois les pages créées #}
+        <a href="">À propos</a> |
+        <a href="">Contact</a>
+    </nav>
+</footer>
\ No newline at end of file
diff --git a/views/partials/_header.twig b/views/partials/_header.twig
new file mode 100644
index 0000000..d73012b
--- /dev/null
+++ b/views/partials/_header.twig
@@ -0,0 +1,24 @@
+<header class="site-header">
+    <div class="site-header__inner">
+        <h1 class="site-header__logo">
+            <a href="/" class="site-header__logo-link">Slim Blog</a>
+        </h1>
+
+        <nav class="site-header__nav">
+            {% if session.user_id is defined and session.user_id %}
+            <span class="site-header__user">
+                Connecté en tant que : <strong>{{ session.username }}</strong>
+            </span>
+            <a href="/admin/posts" class="site-header__action">Tableau de bord</a>
+            <a href="/account/password" class="site-header__action">Mon compte</a>
+            <form method="post" action="/auth/logout" class="u-inline-form">
+                <input type="hidden" name="{{ csrf.keys.name }}" value="{{ csrf.name }}">
+                <input type="hidden" name="{{ csrf.keys.value }}" value="{{ csrf.value }}">
+                <button type="submit" class="site-header__action">Déconnexion</button>
+            </form>
+            {% else %}
+            <a href="/auth/login" class="site-header__action">Connexion</a>
+            {% endif %}
+        </nav>
+    </div>
+</header>
\ No newline at end of file