Attualmente sto studiando l'architettura del servizio sicuro, ma di facile utilizzo, che combina l'archiviazione di dati privati sensibili con una semplice procedura di autorizzazione.
L'approccio è perfettamente descritto nella risposta su questa domanda . Tuttavia, si presuppone che l'utente immetta una password durante l'autorizzazione, che ha utilizzato per generare una chiave derivata (o chiavi). In questo caso, l'hash lento derivato dall'accesso / password viene controllato sul server e, in caso di successo, il singolo individuo memorizzato sul server viene trasferito nuovamente al client che genera la password / chiave derivata dal sale per decrittografare la chiave privata di protezione dei dati.
Per favore, consigli su cosa usare invece della password come pezzo di chiave specifico del cliente, quando gli utenti si autenticano tramite provider 0auth esterni come google, facebook, ecc.?
A saw questa domanda sullo stesso argomento, ma sfortunatamente non c'erano risposte adeguate. Credo che sia possibile generare qualche tipo di chiave sul lato client, ma non abbiamo idea di come trasferire in modo sicuro questa chiave su un altro dispositivo client. Forse potrebbe essere una buona idea farlo tramite un server speciale, non connesso a quello principale?