Какой способ хранения секретных ключей, полученных с помощью SDK, вы считаете лучшим в веб-приложении?

В настоящее время я работаю над приложением, которому требуются секретные ключи для шифрования и подписи информации, сгенерированной клиентом и переданной по сети, эти ключи предоставляются каждому пользователю.

В настоящее время, когда пользователь входит в систему, ключи загружаются из API и сохраняются в , что далеко не оптимально, поскольку их могут получить другие плагины или встроенные приложения (если они знают, как они хранятся).

Я пытался реализовать механизм изоляции, используяпри этом клиентское приложение отправляет сообщения на встроенный внешний сайт, который контролирует доступ к ключам. Это переводит вопрос всозданный этим внешним веб-сайтом, избегая встроенного сайта в клиентское приложение для получения информации.

Я все еще сомневаюсь в этом подходе, главным образом потому, что все еще задействовано хранилище. Может ли кто-нибудь поделиться соответствующим опытом или предложить другой подход?

Спасибо!