це клієнт банку без авторизації чи що

скажи хоча б що за банк

щоб люди встигли гроші забрати

ну да, финансовые штучки

Можешь рассказать, что вообще за задача?

так выше ж написал в деталях

1. після того як я поставив апку я авторизовуюсь?

да, ты получишь токен и будешь его использовать

Если финансовые - только просить генерить приватный ключ, переслать публичный, и подписывать каждый запрос - так OAuth и работает
Либо генерировать приватный ключ и отправить вторым, более надёжным, каналом
Можешь посмотреть как работает 1Password в качестве референса

вариант. он у меня пунктом 1 стоит, но не хочется вообще никаких ключей хранить на клиенте. вообще ничего не хочется хранить

Как минимум пароль надо

як ти без секрету на клієнті можеш щось секретно передати на сервер

зачем? ты ж там генеришь ключ, и передаёшь его тоже

Смотри, к примеру можно так

ладно останнє питання з клієнту файл без форми будуть слати?

да, вот тебе статья за смешной прикол: https://hackernoon.com/e2ee-app-backends-286cc94b8a7

1. На клиенте генеришь приватный ключ
2. Симметричным паролем (знает только пользователь) шифруешь приватный ключ, публичный прикладываешь рядом
3. Полученный контейнер отправляешь на сервер
4. Сервер сохраняет контейнер в базе

5. Отправляешь клиенту контейнер когда тот попросит
6. Он, на своей стороне, расшифровывает приватный ключ симметричным паролем и подписывает все запросы.

Векторов для атаки тут два: окружение небезопасно во время генерации приватного ключа, и когда  клиент расшифровал контейнер для подписи своих запросов

Но это единственный надежный способ как добиться максимальной сесуриты, не имея 2FA

ну так ты почти е2е и описал, только вместо паблик ключей используются нагенерированные строки