Como ficaria esse fluxo? Ao iniciar a aplicação é feita uma chamada ao servidor para obter a chave?
Respondendo a "As vezes a gente criptografa as informações do..." dentro da publicação Persistência de login com LocalStorage
1
1
isso vária muito, mais eu acredito que um dos possiveis fluxo sejá, o usuario pede a requisição de login e recebe os dados criptografados no localstorage mais quando ele precisar enviar algumas dessas informações para o back-end o front se encarrega de enviar a chave, onde só ele é possivel gerar, algo parecido com isso, sinceramente eu tenho que dar uma pesquisada mais afundo :L