{
  // 生产配置：所有敏感值通过环境变量注入，这里只放非敏感的生产默认值。
  //
  // 必须通过 env 覆盖的项：
  //   Jwt__SigningKey__Current=<与 nas-auth 共享的 HS256 密钥>
  //   Jwt__SigningKey__Previous=<密钥轮换时的旧密钥，可选>
  //   Vault__Root=/vault
  //
  // 可选覆盖：
  //   Vault__Blacklist__0=<额外黑名单段>
  //   Vault__WriteWhitelist__0=<额外写入白名单前缀>

  "Logging": {
    "LogLevel": {
      "Default": "Warning",
      "Microsoft.AspNetCore": "Warning"
    }
  },

  "Vault": {
    "Root": "/vault"
  },

  "Jwt": {
    "Issuer": "https://auth.zhengchentao.win",
    "Audience": "obsidian"
  },

  "Mcp": {
    "OAuthDiscovery": {
      "Issuer": "https://auth.zhengchentao.win",
      "AuthorizationEndpoint": "https://auth.zhengchentao.win/authorize",
      "TokenEndpoint": "https://auth.zhengchentao.win/token",
      "RegistrationEndpoint": "https://auth.zhengchentao.win/register"
    }
  },

  "AuditLog": {
    "Directory": "/app/logs"
  }
}