/*
  Сервис для создания JWT, находится в DMZ зоне, непосредственно не участвует в сценариях Партнёра
*/
syntax = "proto3";

import "google/api/annotations.proto";
import "google/api/field_behavior.proto";
import "google/protobuf/descriptor.proto";
import "google/protobuf/timestamp.proto";
import "google/protobuf/wrappers.proto";

package keyapis.kms.v1;

option java_package = "ru.keyapis.kms.v1";
option java_outer_classname = "KeyapisKmsV1Proto";
option java_multiple_files = false;
option java_string_check_utf8 = true;
option go_package = "/keyapis_kms_v1";
option cc_enable_arenas = true;
option csharp_namespace = "Keyapis.Kms.V1";
option objc_class_prefix = "KEYAPISKMSV1";
option php_namespace = "Keyapis\\Kms\\V1";
option ruby_package = "Keyapis::Kms::V1";
option optimize_for = LITE_RUNTIME;

// Сервис JWT
service JwtService {
  // Метод создание nested JWT токена.
  // Создаёт JWT токен с клеймами переданными в PayloadData, подписывает последним выпущенным приватным ключом платформы Ключ.
  // Токен шифруетется (JWE) публичным ключом, переданным в параметре public_key (обычно это публичный ключ партнёра).
  // Логика работы метода: https://confluence.rt.ru/pages/viewpage.action?pageId=664695865.
  // Метод доступен для: service
  rpc PostKmsJwtCreateJwe(PostKmsJwtCreateJweRequest) returns (PostKmsJwtCreateJweResponse) {
    option (google.api.http) = {
      post: "/kms/internal/api/v1/kms/jwt/create/jwe"
      body: "*"
    };
  }
}

// Запрос на создание nested JWT токена
message PostKmsJwtCreateJweRequest {
  // Claims (данные включаемые в тело токена)
  message PayloadData {
    // Словарь значений.
    // Ключи и значения являются строками.
    // # Диапазон: 1..128
    map<string, string> values = 1;
  }

  // Claims (данные включаемые в тело токена)
  PayloadData data = 1 [(google.api.field_behavior) = REQUIRED];
  // Публичный ключ для шифрования
  string public_key = 2 [(google.api.field_behavior) = REQUIRED];
}

// Ответ на запрос на формирование токена
message PostKmsJwtCreateJweResponse {
  // Ошибка
  message Error {
    // Отсутствует ключ для подписания
    message PrivateKeyNotFound {}
    // Причина ошибки
    oneof reason {
      // Ошибка валидации
      ValidationError validation = 1;
      // Отсутствует ключ для подписания
      PrivateKeyNotFound private_key_not_found = 2;
    }
  }
  // Тип ответа
  oneof type {
    // Nested JWT токен
    string data = 1;
    // Ошибка
    Error error = 2;
  }
}

// Ошибки валидации.
// Эти проверки выполняются до обращения в базу данных
message ValidationError {
  // Путь к полю в формате наименования прото
  string path = 1 [(google.api.field_behavior) = REQUIRED];
  // Валидационное сообщение
  string message = 2 [(google.api.field_behavior) = REQUIRED];
}