{
  // 生产配置：所有敏感值通过环境变量注入。
  //
  // 必须通过 env 覆盖的项：
  //   Jwt__Issuer=<你的 auth server issuer URL>
  //   Jwt__SigningKey__Current=<与 auth server 共享的 HS256 密钥>
  //   Jwt__SigningKey__Previous=<密钥轮换时的旧密钥，可选>
  //   Mcp__OAuthDiscovery__Issuer=<同 Jwt__Issuer>
  //   Mcp__OAuthDiscovery__AuthorizationEndpoint=<auth server /authorize URL>
  //   Mcp__OAuthDiscovery__TokenEndpoint=<auth server /token URL>
  //   Mcp__OAuthDiscovery__RegistrationEndpoint=<auth server /register URL>
  //   Vault__Root=/vault
  //
  // 可选覆盖：
  //   Vault__Blacklist__0=<额外黑名单段>
  //   Vault__WriteWhitelist__0=<写入白名单前缀，例如 "Notes/" 或精确文件 "todo.md">

  "Logging": {
    "LogLevel": {
      "Default": "Warning",
      "Microsoft.AspNetCore": "Warning"
    }
  },

  "Vault": {
    "Root": "/vault"
  },

  "Jwt": {
    "Audience": "obsidian"
  },

  "AuditLog": {
    "Directory": "/app/logs"
  }
}