# Secrets MCP Server 环境变量配置
# 复制此文件为 .env 并填写真实值

# ─── 数据库 ───────────────────────────────────────────────────────────
# Web 会话（tower-sessions）与业务数据共用此库；启动时会自动 migrate 会话表，无需额外环境变量。
SECRETS_DATABASE_URL=postgres://postgres:PASSWORD@db.refining.ltd:5432/secrets-mcp
# 强烈建议生产使用 verify-full（至少 verify-ca）
SECRETS_DATABASE_SSL_MODE=verify-full
# 私有 CA 或自建链路时填写 CA 根证书路径；使用公共受信 CA 可留空
# SECRETS_DATABASE_SSL_ROOT_CERT=/etc/secrets/pg-ca.crt
# 当设为 prod/production 时，服务会拒绝弱 TLS 模式（prefer/disable/allow/require）
SECRETS_ENV=production

# ─── 服务地址 ─────────────────────────────────────────────────────────
# 内网监听地址（Cloudflare / Nginx 反代时填内网端口）
SECRETS_MCP_BIND=127.0.0.1:9315

# 对外 HTTPS 地址（用于 OAuth 回调 URL 拼接）
BASE_URL=https://secrets.example.com

# ─── Google OAuth ─────────────────────────────────────────────────────
# Google Cloud Console → APIs & Services → Credentials
# 授权回调 URI 须配置为：${BASE_URL}/auth/google/callback
GOOGLE_CLIENT_ID=
GOOGLE_CLIENT_SECRET=

# ─── 微信登录（暂未开放，预留）───────────────────────────────────────
# WECHAT_APP_CLIENT_ID=
# WECHAT_APP_CLIENT_SECRET=

# ─── 日志（可选）──────────────────────────────────────────────────────
# RUST_LOG=secrets_mcp=debug

# ─── 注意 ─────────────────────────────────────────────────────────────
# SERVER_MASTER_KEY 已不再需要。
# 新架构（E2EE）中，加密密钥由用户密码短语在客户端本地派生，服务端不持有原始密钥。
# 仅在需要迁移旧版 wrapped_key 数据时临时启用。