Beskyt alle applikationer uden at opgive kontrollen

Hjælp mig med at tilføje OpenID Connect-understøttelse med FoxIDs til min applikation.

Begrænsninger for omfang:
- Du må bruge navnet på workspace-mappen som kontekst.
- Du må ikke læse, søge, åbne, inspicere eller udlede noget uden for den aktuelle workspace-mappe.
- Hvis dette er en ny applikation, skal du ikke bruge tid på at søge i workspace efter en eksisterende implementering. Opret eller scaffold det, der er nødvendigt, inde i den aktuelle workspace-mappe, og integrér derefter FoxIDs.
- Hvis dette er en eksisterende applikation, skal du kun inspicere filer inde i den aktuelle workspace-mappe.

Før du skriver kode, skal du stille de nødvendige spørgsmål i præcis to trin.

Spørgsmål i trin 1:
Stil korte spørgsmål for at afgøre:
- applikationstype
- sprog
- framework og version
- hostingmodel
- om auth er client-side eller server-side eller ukendt
- om dette er en ny eller eksisterende applikation

Spørgsmål i trin 2:
- Stil kun disse, hvis det er en eksisterende applikation.
- Stil korte spørgsmål om:
  - den nuværende autentificeringsmetode
  - hvor de nuværende autentificeringsindstillinger er konfigureret
  - om der allerede findes login/logout-UI
  - om der allerede findes en home page eller et layout, hvor minimale auth-UI-ændringer bør tilføjes

Udførelsesregler:
- Start ikke kodeændringer, før begge spørgsmålsfaser er gennemført, eller før trin 1 er gennemført, og det er bekræftet, at det er en ny applikation.
- Hvis det er en ny applikation, skal du gå direkte til implementering efter trin 1. Udfør ikke udforskende søgninger, hvis eneste formål er at finde ud af, om filer allerede findes.
- Hvis det er en eksisterende applikation, skal du kun inspicere det minimum, der er nødvendigt, før du laver ændringer.
- Stil ikke unødvendige opfølgende spørgsmål, hvis de tidligere svar er tilstrækkelige til at implementere integrationen korrekt.

Implementeringskrav:
- Tilføj indstillinger for:
  - `Authority`
  - `ClientId`
- Hvis applikationen er serverbaseret:
  - tilføj `ClientSecret`
  - brug en sessionscookie
  - behold tokens på serveren
  - PKCE er valgfri
- Hvis applikationen ikke er serverbaseret:
  - brug ikke `ClientSecret`
  - brug authorization code flow med PKCE
- Sæt response type til `code`
- Sæt scopes til at omfatte:
  - `openid`
  - `profile`
  - `email`
- Sæt, hvis det understøttes:
  - Name claim type til `sub`
  - Role claim type til `role`
- Brug JWT claims i applikationen
- Foretræk at bruge OpenID Connect Discovery og de hentede oplysninger, inklusive nøgler.
- Foretræk at validere JWT tokens ved hjælp af OpenID Connect Discovery og hentede nøgler og at læse claims fra den validerede JWT token
- Brug kun følgende, hvis OpenID Connect Discovery og JWT token-validering ikke understøttes:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Implementér login og log off
- Tilføj knapper til Log in og Log off
- Vis claims efter login til debugging, og mærk tydeligt, at visningen af debug claims skal fjernes senere
- Sørg for, at data kun hentes og vises, når brugeren er logget ind
- Sørg for, at beskyttede data ikke vises til anonyme brugere
- Hvis der findes API'er, skal du beskytte dem med applikationens auth-model:
  - for serverbaserede applikationer: beskyt API'er med sessionscookien, medmindre arkitekturen specifikt kræver access tokens
  - for ikke-serverbaserede applikationer: beskyt API'er med et access token
- Hvis der er autentificerede API-kald eller datahentninger fra UI'et, skal du sørge for, at de kun udføres for autentificerede brugere

Retningslinjer for en eksisterende applikation:
- Introducér ikke urelateret refaktorering
- Fjern ikke eksisterende funktioner, medmindre det er strengt nødvendigt for FoxIDs OIDC integration
- Hold ændringer i home page eller layout minimale
- Tilføj kun det, der er nødvendigt for:
  - Log in
  - Log off
  - midlertidig visning af debug claims
  - gating af visning af autentificerede data og beskyttede fetches
  - sikring af API'er, hvis de findes

Påkrævet output efter implementering:
Angiv altid alt det følgende:
- Det præcise redirect-domæne eller den præcise redirect URI, der skal konfigureres i FoxIDs
- Præcis hvor indstillingerne er konfigureret
- Hvis det er en eksisterende applikation, listen over ændrede filer
- eventuelle manuelle trin, der stadig kræves, i præcis den rækkefølge brugeren skal udføre dem i FoxIDs og i applikationen
- En kort forklaring på, hvordan applikationen tilføjes og konfigureres i FoxIDs som en OpenID Connect web application

Kvalitetsniveau:
- Foretræk frameworkets native autentificeringstilgang for den detekterede applikationstype
- Hold implementeringen minimal og produktionsfornuftig
- Tilføj ikke placeholder-kode, hvis en reel integration kan implementeres
- Hvis noget ikke kan fuldføres med det tilgængelige workspace eller værktøj, skal du angive præcis, hvad der blokerer, og give det mindst mulige næste trin