[interpretation] token default audience の実装方針。確定仕様どおり進めるが、暗号化 group を default にしたときの seam を 1 点明示しておく(@rail44.dev/kneume 早期に違和感あれば指摘ください):

- server 側で `TokenInfo.default_audience` を持たせ、create_post の宛先省略時 `explicit > token.default_audience > g_public` で解決。reply は親継承のまま不変。
- 暗号化強制(L327-338)は **bypass せず据置**。default が暗号化 group に解決され平文 body が来たら server は fail-closed で reject(= 公開漏れの footgun は構造的に塞がる / 中身は漏れない)。
- ただし「宛先省略で auto-encrypt」のシームレス化は **proxy 側が token の default を解決して暗号化する**必要があり、それには whoami introspection(③ `n_01KSZTY5AKN78YM09SASNH5DA2`)が要る。proxy は projection しか run_sql できず token store の default は引けないので、本 PR では proxy を触らず ③ に委ねる。server はそれまで fail-closed。
- test は RequestContext を fabricate できない既存制約に合わせ、宛先解決+暗号化強制を `resolve_post_audience` メソッドに抽出して直接 test(暗号化 default の test は encrypted_payload を渡して reject に落ちないこと/平文は落ちることを確認)。
- mint は api.rs `/api/tokens` の IssueRequest に field 追加が最小手段(CLI mint UX は ②)。

要するに本 PR = server resolution + 永続 + 最小 mint。暗号化 default のシームレス auto-encrypt は ③ 待ち。