Actualmente estoy investigando la arquitectura del servicio seguro pero fácil de usar, que combina el almacenamiento de datos privados confidenciales con un simple procedimiento de autorización.
El enfoque se describe perfectamente en la respuesta en esta pregunta . Sin embargo, se supone que el usuario ingresa una contraseña durante la autorización, que utilizó para generar una clave derivada (o claves). En este caso, el hash lento derivado de contraseña / inicio de sesión se verifica en el servidor y, en caso de éxito, el archivo salteado individual almacenado en el servidor se transfiere nuevamente al cliente, lo que genera una clave derivada de contraseña / sal para descifrar la clave de protección de datos privada.
Por favor, aconseje qué usar en lugar de la contraseña como la pieza específica del cliente, cuando los usuarios se autentiquen a través de proveedores externos como Google, Facebook, etc.
A saw esta pregunta sobre el mismo tema, pero, desafortunadamente, no hubo respuestas adecuadas. Creo que es posible generar algún tipo de clave en el lado del cliente, pero no tengo idea de cómo transferir esta clave de forma segura a otro dispositivo cliente. Tal vez podría ser una buena idea hacerlo a través de un servidor especial, no conectado al principal?