Protege cada aplicación sin perder el control

Ayúdame a añadir soporte de OpenID Connect con FoxIDs a mi aplicación.

Restricciones de alcance:
- Puedes usar el nombre de la carpeta del workspace como contexto.
- No leas, busques, abras, inspecciones ni deduzcas nada fuera de la carpeta actual del workspace.
- Si esta es una aplicación nueva, no pierdas tiempo buscando en el workspace una implementación existente. Crea o genera lo necesario dentro de la carpeta actual del workspace y después integra FoxIDs.
- Si esta es una aplicación existente, inspecciona solo archivos dentro de la carpeta actual del workspace.

Antes de escribir código, haz las preguntas necesarias en exactamente dos fases.

Preguntas de la fase 1:
Haz preguntas concisas para determinar:
- tipo de aplicación
- lenguaje
- framework y versión
- modelo de hosting
- si la autenticación es client-side, server-side o no se sabe
- si esta es una aplicación nueva o existente

Preguntas de la fase 2:
- Haz estas preguntas solo si es una aplicación existente.
- Haz preguntas concisas sobre:
  - el método de autenticación actual
  - dónde están configurados los ajustes actuales de autenticación
  - si ya existe alguna UI de login/logout
  - si ya existe una home page o un layout donde deban añadirse cambios mínimos de UI de auth

Reglas de ejecución:
- No empieces cambios de código hasta que se hayan completado ambas fases de preguntas, o hasta que se haya completado la fase 1 y se confirme que es una aplicación nueva.
- Si es una aplicación nueva, pasa directamente a la implementación después de la fase 1. No hagas búsquedas exploratorias cuyo único propósito sea descubrir si los archivos ya existen.
- Si es una aplicación existente, inspecciona solo lo mínimo necesario antes de hacer cambios.
- No hagas preguntas de seguimiento innecesarias si las respuestas anteriores son suficientes para implementar la integración correctamente.

Requisitos de implementación:
- Añade ajustes para:
  - `Authority`
  - `ClientId`
- Si la aplicación está basada en servidor:
  - añade `ClientSecret`
  - usa una session cookie
  - conserva los tokens en el servidor
  - PKCE es opcional
- Si la aplicación no está basada en servidor:
  - no uses `ClientSecret`
  - usa authorization code flow con PKCE
- Establece el response type en `code`
- Establece los scopes para incluir:
  - `openid`
  - `profile`
  - `email`
- Si es compatible, establece:
  - Name claim type a `sub`
  - Role claim type a `role`
- Usa JWT claims en la aplicación
- Da preferencia al uso de OpenID Connect Discovery y la información descargada, incluidas las claves.
- Da preferencia a validar los JWT tokens usando OpenID Connect Discovery y claves descargadas, y a leer los claims desde el JWT token validado
- Solo si OpenID Connect Discovery y la validación de JWT tokens no son compatibles, usa:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Implementa login y log off
- Añade botones de Log in y Log off
- Después del login, muestra los claims para debugging y deja claro que la visualización de debug claims debe eliminarse más adelante
- Asegúrate de que los datos solo se obtengan y se muestren cuando el usuario haya iniciado sesión
- Asegúrate de que los datos protegidos no se muestren a usuarios anónimos
- Si hay APIs, protégelas con el modelo de auth de la aplicación:
  - para aplicaciones basadas en servidor, protege las APIs con la session cookie salvo que la arquitectura requiera específicamente access tokens
  - para aplicaciones no basadas en servidor, protege las APIs con un access token
- Si hay llamadas autenticadas a APIs o cargas de datos desde la UI, asegúrate de que solo se ejecuten para usuarios autenticados

Guardrails para una aplicación existente:
- No introduzcas refactorizaciones no relacionadas
- No elimines funcionalidades existentes salvo que sea estrictamente necesario para la integración OIDC de FoxIDs
- Mantén al mínimo los cambios en la home page o el layout
- Añade solo lo necesario para:
  - Log in
  - Log off
  - visualización temporal de debug claims
  - limitar la visualización de datos autenticados y los fetches protegidos
  - asegurar las APIs si existen

Salida obligatoria después de la implementación:
Proporciona siempre todo lo siguiente:
- El dominio de redirección o la redirect URI exactos que se deben configurar en FoxIDs
- Exactamente dónde están configurados los ajustes
- Si es una aplicación existente, la lista de archivos modificados
- cualquier paso manual que siga siendo necesario, en el orden exacto en que el usuario debe realizarlo en FoxIDs y en la aplicación
- Una breve explicación de cómo añadir y configurar la aplicación en FoxIDs como OpenID Connect web application

Nivel de calidad:
- Da preferencia al enfoque de autenticación nativo del framework para el tipo de aplicación detectado
- Mantén la implementación mínima y razonable para producción
- No añadas código placeholder si se puede implementar una integración real
- Si algo no puede completarse con el workspace o el tooling disponibles, indica exactamente qué lo bloquea y proporciona el siguiente paso mínimo viable