Beveilig elke applicatie zonder de controle op te geven

Help me met het toevoegen van OpenID Connect-ondersteuning met FoxIDs aan mijn applicatie.

Scopebeperkingen:
- Je mag de naam van de workspace-map als context gebruiken.
- Lees, zoek, open, inspecteer of leid niets af buiten de huidige workspace-map.
- Als dit een nieuwe applicatie is, besteed dan geen tijd aan het zoeken in de workspace naar een bestaande implementatie. Maak of scaffold wat nodig is binnen de huidige workspace-map en integreer daarna FoxIDs.
- Als dit een bestaande applicatie is, inspecteer dan alleen bestanden binnen de huidige workspace-map.

Voordat je code schrijft, stel de vereiste vragen in precies twee fasen.

Vragen in fase 1:
Stel beknopte vragen om te bepalen:
- applicatietype
- taal
- framework en versie
- hostingmodel
- of auth client-side, server-side of onbekend is
- of dit een nieuwe of bestaande applicatie is

Vragen in fase 2:
- Stel deze alleen als het een bestaande applicatie is.
- Stel beknopte vragen over:
  - de huidige authenticatiemethode
  - waar de huidige authenticatie-instellingen zijn geconfigureerd
  - of er al login/logout-UI bestaat
  - of er al een home page of layout is waar minimale auth-UI-wijzigingen moeten worden toegevoegd

Uitvoeringsregels:
- Begin niet met codewijzigingen voordat beide vraagfasen zijn afgerond, of totdat fase 1 is afgerond en bevestigd is dat dit een nieuwe applicatie is.
- Als het een nieuwe applicatie is, ga dan direct naar de implementatie na fase 1. Voer geen verkennende zoekopdrachten uit die alleen tot doel hebben om te ontdekken of bestanden al bestaan.
- Als het een bestaande applicatie is, inspecteer dan alleen het minimaal noodzakelijke voordat je wijzigingen aanbrengt.
- Stel geen onnodige vervolgvragen als de eerdere antwoorden voldoende zijn om de integratie correct te implementeren.

Implementatievereisten:
- Voeg instellingen toe voor:
  - `Authority`
  - `ClientId`
- Als de applicatie server-based is:
  - voeg `ClientSecret` toe
  - gebruik een session cookie
  - bewaar tokens op de server
  - PKCE is optioneel
- Als de applicatie niet server-based is:
  - gebruik geen `ClientSecret`
  - gebruik authorization code flow met PKCE
- Stel het response type in op `code`
- Stel scopes zo in dat ze het volgende bevatten:
  - `openid`
  - `profile`
  - `email`
- Stel, indien ondersteund, in:
  - Name claim type op `sub`
  - Role claim type op `role`
- Gebruik JWT claims in de applicatie
- Geef de voorkeur aan het gebruik van OpenID Connect Discovery en de gedownloade informatie, inclusief sleutels.
- Geef er de voorkeur aan om JWT tokens te valideren met OpenID Connect Discovery en gedownloade sleutels en de claims te lezen uit het gevalideerde JWT token
- Alleen als OpenID Connect Discovery en validatie van JWT tokens niet worden ondersteund, gebruik:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Implementeer login en log off
- Voeg Log in- en Log off-knoppen toe
- Toon na login de claims voor debugging en maak duidelijk dat de weergave van debug claims later moet worden verwijderd
- Zorg ervoor dat data alleen worden opgehaald en weergegeven wanneer de gebruiker is ingelogd
- Zorg ervoor dat beschermde data niet aan anonieme gebruikers worden getoond
- Als er API's zijn, beveilig die dan met het auth-model van de applicatie:
  - voor server-based applicaties, beveilig API's met de session cookie tenzij de architectuur specifiek access tokens vereist
  - voor niet-server-based applicaties, beveilig API's met een access token
- Als er geauthenticeerde API-calls of data-fetches vanuit de UI zijn, zorg er dan voor dat die alleen worden uitgevoerd voor geauthenticeerde gebruikers

Randvoorwaarden voor een bestaande applicatie:
- Voer geen niet-gerelateerde refactoring door
- Verwijder geen bestaande functionaliteit tenzij dat strikt noodzakelijk is voor de FoxIDs OIDC integration
- Houd wijzigingen aan de home page of het layout minimaal
- Voeg alleen toe wat nodig is voor:
  - Log in
  - Log off
  - tijdelijke weergave van debug claims
  - het afschermen van de weergave van geauthenticeerde data en beschermde fetches
  - het beveiligen van API's als die aanwezig zijn

Verplichte output na implementatie:
Geef altijd al het volgende:
- Het exacte redirect-domein of de exacte redirect URI die in FoxIDs moet worden geconfigureerd
- Exact waar de instellingen zijn geconfigureerd
- Als het een bestaande applicatie is, de lijst met gewijzigde bestanden
- alle handmatige stappen die nog nodig zijn, in exact de volgorde waarin de gebruiker ze in FoxIDs en in de applicatie moet uitvoeren
- Een korte uitleg over hoe je de applicatie in FoxIDs toevoegt en configureert als een OpenID Connect web application

Kwaliteitslat:
- Geef de voorkeur aan de framework-native authenticatieaanpak voor het gedetecteerde applicatietype
- Houd de implementatie minimaal en zinnig voor productie
- Voeg geen placeholder-code toe als een echte integratie kan worden geïmplementeerd
- Als iets niet kan worden voltooid met de beschikbare workspace of tooling, geef dan exact aan wat blokkeert en geef de kleinst mogelijke volgende stap