Dio :
Un servicio web que almacena datos de usuario y un servidor con una base de datos.
Un administrador que puede acceder al servidor con el servidor web y la base de datos.
El usuario de Foreach es una base de datos dedicada.
Aim :
Almacene los datos de manera que ni siquiera el administrador pueda acceder a ellos con el secreto del usuario.
Thhutts:
Para asegurarse de que el Administrador no pueda acceder a los datos almacenados por muchos usuarios, los datos se pueden cifrar con un secreto de usuario. y / o la base de datos se puede crear con una derivación del secreto del usuario como contraseña.
Los datos se pueden descifrar en el lado del cliente.
Pregunta :
Esto funciona con inicios de sesión de usuarios comunes, por lo que podría usar la contraseña de usuario o un hash de la misma como contraseña / cifrado de la base de datos. Pero, ¿hay alguna práctica que hacer si el usuario se autentica con un inicio de sesión externo de oAuth (Google, Facebook, Github ...)? En este caso no tengo ningún secreto / contraseña del usuario.
Para mí sería un poco extraño pedirle un "MasterKey". ¿Hay experiencias sobre este escenario o ejemplos del mundo real?