JS客户端加密和Oauth

Question

我们正在构建一个开源 SaaS 应用程序，有一些信息是服务器不需要知道的，而用户更愿意保密。

这不是超级机密/危及生命的东西，但是服务器不需要知道...

我们使用来自各种流行第三方的 Oauth 对用户进行身份验证。

如何根据 Oauth 令牌派生加密密钥？ （让我们保留一些，仅支持 Google、Facebook 和 Twitter）令牌

Answer 1

强制性的第一条评论：整个模型不可能安全地完成。如果服务器是恶意/受损的，它将为用户 JS 提供服务，该用户 JS 窃取了攻击者想要知道的任何秘密并将它们发送（到服务器或其他地方）而用户不知道。如果您希望客户端加密提供任何真正的安全性，您需要在本地获取其代码的东西，例如客户端应用程序或浏览器扩展程序。

---

不幸的是，OAuth（尤其是第三方身份提供商）非常不适合这种情况。使用远程后端进行客户端加密的通常方式是客户端对用户的密码进行两次哈希处理（以不同的方式/使用不同的盐），然后将一个传递给服务器进行身份验证，并使用另一个来派生/解密用户的主加密密钥。由于用户实际上没有您网站的任何密码，并且他们拥有的密码是使用您无法控制的代码在第三方网站上输入的，因此这显然不适合您。

我看不出有任何方法可以让用户知道但服务器或攻击者都不知道的秘密，除非在您的应用程序验证后添加一个额外的“解锁”密码。 OAuth 服务器不会返回任何值，客户端可以用来派生秘密，尤其是服务器不知道的秘密。

您最好的选择可能只是将加密密钥存储在用户数据库中，或者可能存储在只有服务器可以访问的 HSM 中，并将加密数据存储在其他地方（S3 或其他地方）。这甚至比正常尝试的安全性更低——攻击服务器的攻击者可以在不更改任何内容的情况下解密所有内容，当然也不会更改客户端看到的任何代码——但如果你可以将密钥和数据保存在不同的位置，那么至少您可以安全地防止有人破坏一个位置而不是另一个位置（而不是连接它们的服务器）。这至少比将密钥存储在数据旁边要好一些，在这种情况下，加密根本不会增加安全性，只是一个非常小的减速带。