GCP Pub/Sub Push サブスクリプションからの webhook を OIDC JWT で検証する際、audience/issuer/email_verified だけでなく service account の email クレームの一致まで確認する必要がある。email 検証がないと、別の GCP プロジェクトの SA で発行した OIDC トークンでもエンドポイントを叩けてしまい、任意の処理を偽トリガできる。期待する SA email を設定値として保持し、検証で一致を見る。