Data:
Un WebService che memorizza i Dati utente e un server con un database.
Un amministratore che può accedere al server con il webservice e il server con il database.
L'utente di Foreach è un database dedicato.
Obiettivo:
Archiviare i dati in modo che anche l'amministratore non possa accedervi con il segreto dell'utente.
Pensieri:
Per assicurarsi che l'amministratore non possa accedere ai dati memorizzati da molti utenti, i dati possono essere crittografati con un segreto dell'utente. e / o il database può essere creato con una derivazione del segreto dell'utente come password.
I dati possono quindi essere decodificati sul lato client.
Domanda:
Funziona con i login degli utenti più comuni in modo da poter usare la password utente o un hash come password del database / Crittografia. Ma esiste una pratica su cosa fare se l'utente si autentica con un login oAuth esterno (Google, Facebook, Github ...)? In questo caso non ho alcun segreto / password dell'utente.
Per me sarebbe un po 'imbarazzante chiedergli un "MasterKey". Ci sono esperienze su questo scenario o esempi del mondo reale?