Zabezpiecz każdą aplikację bez utraty kontroli

Pomóż mi dodać obsługę OpenID Connect z FoxIDs do mojej aplikacji.

Ograniczenia zakresu:
- Możesz użyć nazwy folderu workspace jako kontekstu.
- Nie czytaj, nie wyszukuj, nie otwieraj, nie sprawdzaj i nie wyciągaj wniosków z niczego poza bieżącym folderem workspace.
- Jeśli to nowa aplikacja, nie trać czasu na szukanie w workspace istniejącej implementacji. Utwórz lub wygeneruj to, co jest potrzebne, wewnątrz bieżącego folderu workspace, a następnie zintegruj FoxIDs.
- Jeśli to istniejąca aplikacja, sprawdzaj tylko pliki wewnątrz bieżącego folderu workspace.

Przed napisaniem jakiegokolwiek kodu zadaj wymagane pytania dokładnie w dwóch etapach.

Pytania etapu 1:
Zadaj krótkie pytania, aby ustalić:
- typ aplikacji
- język
- framework i wersję
- model hostingu
- czy auth jest client-side, server-side czy nie wiadomo
- czy to nowa aplikacja, czy istniejąca aplikacja

Pytania etapu 2:
- Zadawaj je tylko wtedy, gdy to istniejąca aplikacja.
- Zadaj krótkie pytania o:
  - obecną metodę uwierzytelniania
  - miejsce, w którym są skonfigurowane obecne ustawienia uwierzytelniania
  - to, czy istnieje już UI login/logout
  - to, czy istnieje już home page lub layout, gdzie należy dodać minimalne zmiany w auth UI

Zasady wykonania:
- Nie rozpoczynaj zmian w kodzie, dopóki oba etapy pytań nie zostaną zakończone, albo dopóki etap 1 nie zostanie zakończony i nie zostanie potwierdzone, że to nowa aplikacja.
- Jeśli to nowa aplikacja, przejdź bezpośrednio do implementacji po etapie 1. Nie wykonuj eksploracyjnych wyszukiwań, których jedynym celem jest ustalenie, czy pliki już istnieją.
- Jeśli to istniejąca aplikacja, przed wprowadzeniem zmian sprawdź tylko niezbędne minimum.
- Nie zadawaj niepotrzebnych pytań uzupełniających, jeśli wcześniejsze odpowiedzi wystarczają do prawidłowego wdrożenia integracji.

Wymagania implementacyjne:
- Dodaj ustawienia dla:
  - `Authority`
  - `ClientId`
- Jeśli aplikacja jest oparta na serwerze:
  - dodaj `ClientSecret`
  - użyj session cookie
  - przechowuj tokeny na serwerze
  - PKCE jest opcjonalne
- Jeśli aplikacja nie jest oparta na serwerze:
  - nie używaj `ClientSecret`
  - użyj authorization code flow z PKCE
- Ustaw response type na `code`
- Ustaw scopes tak, aby obejmowały:
  - `openid`
  - `profile`
  - `email`
- Jeśli jest to obsługiwane, ustaw:
  - Name claim type na `sub`
  - Role claim type na `role`
- Używaj JWT claims w aplikacji
- Preferuj użycie OpenID Connect Discovery oraz pobranych informacji, w tym kluczy.
- Preferuj walidację JWT tokens przy użyciu OpenID Connect Discovery i pobranych kluczy oraz odczytywanie claims z prawidłowo zweryfikowanego JWT token
- Tylko jeśli OpenID Connect Discovery i walidacja JWT tokens nie są obsługiwane, użyj:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Zaimplementuj login i log off
- Dodaj przyciski Log in i Log off
- Po login pokaż claims do debugging i wyraźnie oznacz, że wyświetlanie debug claims musi zostać później usunięte
- Upewnij się, że dane są pobierane i wyświetlane tylko wtedy, gdy użytkownik jest zalogowany
- Upewnij się, że chronione dane nie są wyświetlane użytkownikom anonimowym
- Jeśli są API, zabezpiecz je zgodnie z modelem auth aplikacji:
  - dla aplikacji serwerowych zabezpieczaj API przy użyciu session cookie, chyba że architektura wyraźnie wymaga access tokens
  - dla aplikacji nieserwerowych zabezpieczaj API przy użyciu access token
- Jeśli są uwierzytelnione wywołania API lub pobrania danych z UI, upewnij się, że wykonują się tylko dla uwierzytelnionych użytkowników

Założenia dla istniejącej aplikacji:
- Nie wprowadzaj niepowiązanego refaktoryzowania
- Nie usuwaj istniejących funkcji, chyba że jest to bezwzględnie konieczne dla integracji OIDC FoxIDs
- Ogranicz zmiany w home page lub layout do minimum
- Dodaj tylko to, co jest potrzebne do:
  - Log in
  - Log off
  - tymczasowego wyświetlania debug claims
  - ograniczenia wyświetlania danych uwierzytelnionych i chronionych fetches
  - zabezpieczenia API, jeśli występują

Wymagany output po implementacji:
Zawsze podaj wszystko z poniższej listy:
- Dokładną domenę redirect lub dokładną redirect URI do skonfigurowania w FoxIDs
- Dokładnie gdzie są skonfigurowane ustawienia
- Jeśli to istniejąca aplikacja, listę zmienionych plików
- wszelkie ręczne kroki, które nadal są wymagane, w dokładnie takiej kolejności, w jakiej użytkownik powinien wykonać je w FoxIDs i w aplikacji
- Krótkie wyjaśnienie, jak dodać i skonfigurować aplikację w FoxIDs jako OpenID Connect web application

Poziom jakości:
- Preferuj natywne dla frameworka podejście do uwierzytelniania dla wykrytego typu aplikacji
- Zachowaj minimalną i sensowną produkcyjnie implementację
- Nie dodawaj placeholder-code, jeśli da się wdrożyć prawdziwą integrację
- Jeśli czegoś nie da się ukończyć przy użyciu dostępnego workspace lub tooling, podaj dokładnie, co blokuje, i wskaż najmniejszy możliwy następny krok