Invece di passare un token di autenticazione o una chiave API in un'intestazione http a un server nel testo normale, cosa succede se ho calcolato il suo hash e passato l'hash? In questo modo, anche se un avversario intercetta l'hash, sarà inutile per loro. E un server può facilmente calcolare anche un hash della password reale sul suo lato e quindi verificare se corrispondono. Un sale può anche essere aggiunto.
Funzionerà? Questo approccio è ampiamente utilizzato?