做了一个基于 Google OAuth 的密码管理器雏形，求分析安全性

Github: https://github.com/snullp/goPwd
Demo: https://pwd.bigsquirrel.me

希望回复有理有据，高质量的分割线----------------

这个管理器的思路是通过OAuth获得一个Unique的MasterKey，然后用一个密码生成算法 根据（Entity name，MasterKey，Options）来生成密码。

管理器不使用数据库，减少了被脱库的风险。

假设服务器的filesystem content和memory content是安全的。

整个环节，因为生成算法是公开的，所以唯一需要注意的就是MasterKey。目前MasterKey是存在php的session里的，可以被认为是安全的吧？
MasterKey 是由Google的 UID（google account对应的唯一id）和 Google OAuth后端id（每个人都可以申请） 结合后哈希生成的。所以需要 Google OAuth后端id 保密（后端id需要存在config file里）。目前的设计上看在这点上是否有疏忽？