Proteggi ogni applicazione senza rinunciare al controllo

Aiutami ad aggiungere il supporto OpenID Connect con FoxIDs alla mia applicazione.

Restrizioni di ambito:
- Puoi usare il nome della cartella del workspace come contesto.
- Non leggere, cercare, aprire, ispezionare o dedurre nulla al di fuori della cartella di workspace corrente.
- Se questa è una nuova applicazione, non perdere tempo a cercare nel workspace un'implementazione esistente. Crea o genera ciò che serve all'interno della cartella di workspace corrente e poi integra FoxIDs.
- Se questa è un'applicazione esistente, ispeziona solo i file all'interno della cartella di workspace corrente.

Prima di scrivere codice, fai le domande richieste in esattamente due fasi.

Domande della fase 1:
Fai domande concise per determinare:
- tipo di applicazione
- linguaggio
- framework e versione
- modello di hosting
- se l'auth è client-side, server-side oppure non si sa
- se questa è una nuova applicazione oppure un'applicazione esistente

Domande della fase 2:
- Falle solo se si tratta di un'applicazione esistente.
- Fai domande concise su:
  - il metodo di autenticazione attuale
  - dove sono configurate le attuali impostazioni di autenticazione
  - se esiste già una UI di login/logout
  - se esiste già una home page o un layout dove dovrebbero essere aggiunte modifiche minime alla UI di auth

Regole di esecuzione:
- Non iniziare modifiche al codice finché entrambe le fasi di domande non sono completate, oppure finché la fase 1 non è completata ed è confermato che si tratta di una nuova applicazione.
- Se è una nuova applicazione, procedi direttamente all'implementazione dopo la fase 1. Non effettuare ricerche esplorative il cui unico scopo sia scoprire se i file esistono già.
- Se è un'applicazione esistente, ispeziona solo il minimo necessario prima di apportare modifiche.
- Non fare domande di follow-up non necessarie se le risposte precedenti sono sufficienti per implementare correttamente l'integrazione.

Requisiti di implementazione:
- Aggiungi impostazioni per:
  - `Authority`
  - `ClientId`
- Se l'applicazione è basata su server:
  - aggiungi `ClientSecret`
  - usa un session cookie
  - mantieni i token sul server
  - PKCE è opzionale
- Se l'applicazione non è basata su server:
  - non usare `ClientSecret`
  - usa authorization code flow con PKCE
- Imposta il response type su `code`
- Imposta gli scopes in modo da includere:
  - `openid`
  - `profile`
  - `email`
- Se supportato, imposta:
  - Name claim type su `sub`
  - Role claim type su `role`
- Usa i JWT claims nell'applicazione
- Preferisci usare OpenID Connect Discovery e le informazioni scaricate, incluse le chiavi.
- Preferisci validare i JWT tokens usando OpenID Connect Discovery e chiavi scaricate e leggere i claims dal JWT token validato
- Solo se OpenID Connect Discovery e la validazione dei JWT tokens non sono supportate, usa:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Implementa login e log off
- Aggiungi pulsanti Log in e Log off
- Dopo il login, mostra i claims per il debugging e indica chiaramente che la visualizzazione dei debug claims dovrà essere rimossa in seguito
- Assicurati che i dati vengano recuperati e mostrati solo quando l'utente ha effettuato l'accesso
- Assicurati che i dati protetti non vengano mostrati agli utenti anonimi
- Se ci sono API, proteggile con il modello di auth dell'applicazione:
  - per le applicazioni basate su server, proteggi le API con il session cookie a meno che l'architettura non richieda specificamente access tokens
  - per le applicazioni non basate su server, proteggi le API con un access token
- Se ci sono chiamate API autenticate o recuperi dati dalla UI, assicurati che vengano eseguiti solo per utenti autenticati

Vincoli per un'applicazione esistente:
- Non introdurre refactoring non correlati
- Non rimuovere funzionalità esistenti se non strettamente necessario per l'integrazione OIDC di FoxIDs
- Mantieni minime le modifiche alla home page o al layout
- Aggiungi solo ciò che serve per:
  - Log in
  - Log off
  - visualizzazione temporanea dei debug claims
  - controllo della visualizzazione dei dati autenticati e dei fetch protetti
  - protezione delle API, se presenti

Output richiesto dopo l'implementazione:
Fornisci sempre tutto quanto segue:
- Il dominio di redirect o la redirect URI esatti da configurare in FoxIDs
- Esattamente dove sono configurate le impostazioni
- Se si tratta di un'applicazione esistente, l'elenco dei file modificati
- eventuali passaggi manuali ancora necessari, nell'ordine esatto in cui l'utente deve eseguirli in FoxIDs e nell'applicazione
- Una breve spiegazione di come aggiungere e configurare l'applicazione in FoxIDs come OpenID Connect web application

Livello di qualità:
- Preferisci l'approccio di autenticazione nativo del framework per il tipo di applicazione rilevato
- Mantieni l'implementazione minima e sensata per la produzione
- Non aggiungere codice placeholder se è possibile implementare un'integrazione reale
- Se qualcosa non può essere completato con il workspace o il tooling disponibili, indica esattamente cosa lo blocca e fornisci il più piccolo passo successivo praticabile