我有一个应用程序需要代表用户存储机密。这些秘密应该安全地存储,但需要在用户在场时可解密。
通常我会使用基于密码的密钥(即 PBKDF2)来派生密钥,但是我还必须提供 oAuth2 登录功能(使用 Facebook 和 Google),这意味着我没有可以用来生成的密码钥匙。
我试图找到从 oAuth2 提供商返回的唯一、一致且秘密的密钥,但我找不到。
有什么方法可以将两者结合起来吗?我怀疑答案是否定的,但为了以防万一还是想问一下。
我认为在这种情况下,唯一的选择可能是让用户除了登录之外还提供特定于您的环境的解密密码。即使您发现一些秘密信息并且在所有 oAuth 提供商中都可用,您也会遇到这样的问题:该值对于您的应用程序来说不是唯一的,并且密钥可能由其他服务派生,这将是很糟糕的。
让用户提供附加信息似乎是唯一的选择。