Ciao, potresti oltre che darla al cliente la secretkey conservarla in un db...che al momento dello scambio delle chiavi controlla se esiste e se corrisponde con la persona che si vuole loggare