Sichern Sie jede Anwendung ohne die Kontrolle aufzugeben

Hilf mir, OpenID Connect-Unterstützung mit FoxIDs zu meiner Anwendung hinzuzufügen.

Bereichsbeschränkungen:
- Du darfst den Namen des Workspace-Ordners als Kontext verwenden.
- Lies, suche, öffne, inspiziere oder schließe nichts außerhalb des aktuellen Workspace-Ordners ein.
- Wenn dies eine neue Anwendung ist, verbringe keine Zeit damit, den Workspace nach einer bestehenden Implementierung zu durchsuchen. Erstelle oder scaffolde das Nötige im aktuellen Workspace-Ordner und integriere dann FoxIDs.
- Wenn dies eine bestehende Anwendung ist, inspiziere nur Dateien innerhalb des aktuellen Workspace-Ordners.

Bevor du Code schreibst, stelle die erforderlichen Fragen in genau zwei Phasen.

Fragen in Phase 1:
Stelle kurze Fragen, um Folgendes zu bestimmen:
- Anwendungstyp
- Sprache
- Framework und Version
- Hosting-Modell
- ob die Authentifizierung client-side, server-side oder unbekannt ist
- ob es sich um eine neue oder bestehende Anwendung handelt

Fragen in Phase 2:
- Stelle diese nur, wenn es sich um eine bestehende Anwendung handelt.
- Stelle kurze Fragen zu:
  - der aktuellen Authentifizierungsmethode
  - dem Ort, an dem die aktuellen Authentifizierungseinstellungen konfiguriert sind
  - ob bereits Login/Logout-UI vorhanden ist
  - ob bereits eine home page oder ein Layout vorhanden ist, an dem minimale Auth-UI-Änderungen hinzugefügt werden sollen

Ausführungsregeln:
- Beginne nicht mit Codeänderungen, bevor beide Fragephasen abgeschlossen sind oder bis Phase 1 abgeschlossen ist und bestätigt wurde, dass es sich um eine neue Anwendung handelt.
- Wenn es sich um eine neue Anwendung handelt, gehe nach Phase 1 direkt zur Implementierung über. Führe keine explorativen Suchen aus, deren einziger Zweck es ist herauszufinden, ob Dateien bereits existieren.
- Wenn es sich um eine bestehende Anwendung handelt, inspiziere vor Änderungen nur das absolut Nötige.
- Stelle keine unnötigen Rückfragen, wenn die bisherigen Antworten ausreichen, um die Integration korrekt umzusetzen.

Implementierungsanforderungen:
- Füge Einstellungen hinzu für:
  - `Authority`
  - `ClientId`
- Wenn die Anwendung serverbasiert ist:
  - füge `ClientSecret` hinzu
  - verwende ein Session Cookie
  - behalte Tokens auf dem Server
  - PKCE ist optional
- Wenn die Anwendung nicht serverbasiert ist:
  - verwende kein `ClientSecret`
  - verwende authorization code flow mit PKCE
- Setze den response type auf `code`
- Setze die Scopes so, dass sie Folgendes enthalten:
  - `openid`
  - `profile`
  - `email`
- Setze, falls unterstützt:
  - Name claim type auf `sub`
  - Role claim type auf `role`
- Verwende JWT claims in der Anwendung
- Bevorzuge OpenID Connect Discovery und die heruntergeladenen Informationen einschließlich der Schlüssel.
- Bevorzuge es, JWT tokens mit OpenID Connect Discovery und heruntergeladenen Schlüsseln zu validieren und die claims aus dem validierten JWT token zu lesen
- Verwende nur dann Folgendes, wenn OpenID Connect Discovery und JWT token-Validierung nicht unterstützt werden:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Implementiere login und log off
- Füge Log in- und Log off-Schaltflächen hinzu
- Zeige nach dem Login die claims für debugging an und kennzeichne klar, dass diese Anzeige der debug claims später entfernt werden muss
- Stelle sicher, dass Daten nur abgerufen und angezeigt werden, wenn der Benutzer angemeldet ist
- Stelle sicher, dass geschützte Daten anonymen Benutzern nicht angezeigt werden
- Wenn APIs vorhanden sind, sichere sie mit dem Auth-Modell der Anwendung:
  - bei serverbasierten Anwendungen: sichere APIs mit dem Session Cookie, es sei denn, die Architektur erfordert ausdrücklich access tokens
  - bei nicht serverbasierten Anwendungen: sichere APIs mit einem access token
- Wenn es authentifizierte API-Aufrufe oder Datenabrufe aus der UI gibt, stelle sicher, dass sie nur für authentifizierte Benutzer ausgeführt werden

Leitplanken für eine bestehende Anwendung:
- Führe kein themenfremdes Refactoring ein
- Entferne keine bestehenden Funktionen, es sei denn, dies ist für die FoxIDs OIDC integration zwingend erforderlich
- Halte Änderungen an home page oder Layout minimal
- Füge nur hinzu, was benötigt wird für:
  - Log in
  - Log off
  - temporäre Anzeige von debug claims
  - Steuerung der Anzeige authentifizierter Daten und geschützter fetches
  - das Absichern von APIs, falls vorhanden

Erforderliche Ausgabe nach der Implementierung:
Gib immer alles Folgende an:
- Die genaue Redirect-Domain oder Redirect URI, die in FoxIDs konfiguriert werden muss
- Genau, wo die Einstellungen konfiguriert sind
- Falls es sich um eine bestehende Anwendung handelt, die Liste der geänderten Dateien
- alle noch erforderlichen manuellen Schritte, genau in der Reihenfolge, in der der Benutzer sie in FoxIDs und in der Anwendung ausführen soll
- Eine kurze Erklärung, wie die Anwendung in FoxIDs als OpenID Connect web application hinzugefügt und konfiguriert wird

Qualitätsmaßstab:
- Bevorzuge den nativen Authentifizierungsansatz des Frameworks für den erkannten Anwendungstyp
- Halte die Implementierung minimal und produktionstauglich
- Füge keinen Platzhalter-Code hinzu, wenn eine echte Integration implementiert werden kann
- Wenn etwas mit dem verfügbaren Workspace oder Tooling nicht abgeschlossen werden kann, gib genau an, was blockiert, und nenne den kleinstmöglichen nächsten Schritt