Sto pensando a un concetto di crittografia sul lato client in cui solo il client conosce il master secret (una password utente). Si presuppone una corretta implementazione, con KDF e soluzioni di crittografia autenticate dovrebbe essere possibile garantire la riservatezza e l'integrità senza inoltrare il segreto (dalla chiave derivata dalla password) al server e anche senza salvare il segreto sul server.
Ma che cos'è l'autorizzazione in questo scenario? Come posso controllare l'accesso alle risorse senza un "processo di accesso" sul server? Per esempio. come posso evitare che un utente cancelli una risorsa da un altro utente?
La mia unica idea è usare un CSPRNG per generare un ID casuale per ogni risorsa. Ma poi gli ID delle risorse saranno trasformati in informazioni sensibili, ciò che non mi sembra perfettamente ragionevole.
Ci sono strategie / tecnologie che mi mancano? Grazie per avermi indicato in una nuova direzione.