Sto implementando la crittografia end-to-end a livello di campo (e2ee) ai dati dei clienti archiviati in un DB, questo DB viene utilizzato da un'applicazione web RESTFUL (angolare) tramite un'API Web.
L'API genera una chiave di crittografia per utente e crittografa simmetricamente quella chiave di crittografia con la password non crittografata dell'utente + le credenziali e la memorizza in un DB.
Ogni volta che l'utente deve fornire la password all'API Web per ottenere la chiave di crittografia decrittografata e l'utilizzo di tale chiave, l'API Web decodifica i dati del cliente e fornisce a RESTFUL WebUI.
Quando in una situazione in cui il cliente perde la sua password non riesce ad accedere ai suoi dati.
C'è qualche soluzione a questo problema con la password persa? Tuttavia, l'e2ee dovrebbe essere sempre disponibile e la nostra API Web / staff di interfaccia utente / sviluppatori / gestione dovrebbe avere zero conoscenza dei dati dei clienti.