Voglio crittografare i dati sensibili sul mio app server (app per Facebook) in modo tale che la mia app possa decrittografare questi dati solo quando l'utente è in una sessione attiva. Devo essere in grado di derivare / rigenerare / salare in modo affidabile una chiave per crittografare / decifrare questi dati, e vorrei usare qualcosa che Facebook invierà alla mia app solo quando l'utente è connesso attivamente, sarà sempre lo stesso tra sessioni per quell'utente specifico e non è facilmente falsificato dalle informazioni disponibili ad altri utenti o app. Esiste qualche informazione segreta in OAuth 2.0 o nell'API di Facebook Connect che è sia utente che amp; specifica dell'app e sarà coerente tra le sessioni?
Lo scopo è di mantenere una chiave privata di una coppia di chiavi che generi per ogni utente ... consentendo così agli utenti di scambiare bit di dati sensibili tra loro (o piuttosto, per la mia app scambiare bit di dati sensibili internamente) in modo tale che queste informazioni siano protette anche se i dati sul server dell'app vengono compromessi ... (Comprendo che se il server dell'app rimane compromesso per un certo periodo di tempo, è possibile che tali informazioni sensibili siano ancora raccolte da tutti gli utenti che hanno avuto sessioni attive mentre il server è stato compromesso, ma vorrei ridurre al minimo la quantità di danni possibili nel caso in cui il server venga compromesso ... in modo tale che qualsiasi dato estratto dal server sia inutile senza ogni individuo chiave / informazioni segrete dell'utente