Skydda varje applikation utan att ge upp kontrollen

Hjälp mig att lägga till OpenID Connect-stöd med FoxIDs i min applikation.

Omfattningsbegränsningar:
- Du får använda namnet på workspace-mappen som kontext.
- Läs, sök, öppna, inspektera eller dra inte slutsatser från något utanför den aktuella workspace-mappen.
- Om detta är en ny applikation, lägg inte tid på att söka i workspace efter en befintlig implementering. Skapa eller scaffolda det som behövs i den aktuella workspace-mappen och integrera sedan FoxIDs.
- Om detta är en befintlig applikation, inspektera bara filer i den aktuella workspace-mappen.

Innan du skriver någon kod ska du ställa de nödvändiga frågorna i exakt två steg.

Frågor i steg 1:
Ställ korta frågor för att avgöra:
- applikationstyp
- språk
- ramverk och version
- hostingmodell
- om auth är client-side, server-side eller vet inte
- om detta är en ny eller befintlig applikation

Frågor i steg 2:
- Ställ dessa bara om det är en befintlig applikation.
- Ställ korta frågor om:
  - den nuvarande autentiseringsmetoden
  - var de nuvarande autentiseringsinställningarna är konfigurerade
  - om det redan finns login/logout-UI
  - om det redan finns en home page eller layout där minimala auth-UI-ändringar bör läggas till

Regler för genomförande:
- Börja inte med kodändringar förrän båda frågeetapperna är klara, eller tills steg 1 är klart och det är bekräftat att det är en ny applikation.
- Om det är en ny applikation, gå direkt till implementering efter steg 1. Utför inga utforskande sökningar vars enda syfte är att upptäcka om filer redan finns.
- Om det är en befintlig applikation, inspektera bara det minimum som behövs innan du gör ändringar.
- Ställ inga onödiga följdfrågor om tidigare svar räcker för att implementera integrationen korrekt.

Implementeringskrav:
- Lägg till inställningar för:
  - `Authority`
  - `ClientId`
- Om applikationen är serverbaserad:
  - lägg till `ClientSecret`
  - använd en sessionscookie
  - behåll tokens på servern
  - PKCE är valfritt
- Om applikationen inte är serverbaserad:
  - använd inte `ClientSecret`
  - använd authorization code flow med PKCE
- Sätt response type till `code`
- Sätt scopes så att de inkluderar:
  - `openid`
  - `profile`
  - `email`
- Sätt, om det stöds:
  - Name claim type till `sub`
  - Role claim type till `role`
- Använd JWT claims i applikationen
- Föredra att använda OpenID Connect Discovery och den nedladdade informationen, inklusive nycklar.
- Föredra att validera JWT tokens med OpenID Connect Discovery och nedladdade nycklar samt att läsa claims från den validerade JWT token
- Endast om OpenID Connect Discovery och JWT token-validering inte stöds, använd:
  - user info endpoint: `Authority` + `/oauth/userinfo`
  - authorize endpoint: `Authority` + `/oauth/authorize`
  - token endpoint: `Authority` + `/oauth/token`
- Implementera login och log off
- Lägg till knappar för Log in och Log off
- Visa efter login claims för debugging och märk tydligt att visningen av debug claims måste tas bort senare
- Säkerställ att data bara hämtas och visas när användaren är inloggad
- Säkerställ att skyddade data inte visas för anonyma användare
- Om det finns API:er, säkra dem med applikationens auth-modell:
  - för serverbaserade applikationer, säkra API:er med sessionscookien om inte arkitekturen specifikt kräver access tokens
  - för icke-serverbaserade applikationer, säkra API:er med ett access token
- Om det finns autentiserade API-anrop eller datahämtningar från UI:t, säkerställ att de bara körs för autentiserade användare

Ramar för en befintlig applikation:
- Inför inte orelaterad refaktorering
- Ta inte bort befintliga funktioner om det inte är absolut nödvändigt för FoxIDs OIDC integration
- Håll ändringar i home page eller layout minimala
- Lägg bara till det som behövs för:
  - Log in
  - Log off
  - tillfällig visning av debug claims
  - styrning av visning av autentiserade data och skyddade fetches
  - säkring av API:er om de finns

Krävd output efter implementering:
Ange alltid allt följande:
- Den exakta redirect-domänen eller den exakta redirect URI:n som ska konfigureras i FoxIDs
- Exakt var inställningarna är konfigurerade
- Om det är en befintlig applikation, listan över ändrade filer
- eventuella manuella steg som fortfarande krävs, i exakt den ordning användaren ska utföra dem i FoxIDs och i applikationen
- En kort förklaring av hur applikationen läggs till och konfigureras i FoxIDs som en OpenID Connect web application

Kvalitetsnivå:
- Föredra ramverkets inbyggda autentiseringsmetod för den upptäckta applikationstypen
- Håll implementeringen minimal och produktionsmässigt rimlig
- Lägg inte till placeholder-kod om en riktig integration kan implementeras
- Om något inte kan slutföras med tillgängligt workspace eller tooling, ange exakt vad som blockerar och ge minsta möjliga nästa steg