Sappiamo tutti cosa è l'autenticazione di base HTTP:
Authorization: Basic base64(login + ":" + password)
HTTP Digest è un importante miglioramento rispetto a Basic in quanto non trasmette la password in chiaro, ma d'altra parte detta password in chiaro è memorizzata sul server.
La mia domanda è: ci sono schemi di autenticazione che funzionano con il server che ha solo un hash della password?
Cosa consiglio:
Hash la password dal lato del cliente. Il client conosce quindi il meccanismo di hashing per la prima fase del processo. Invia questo valore hash al server. Ora fai in modo che il server salti e hash questa password già hash . In questo modo, un intercettatore avrà accesso all'hash in qualsiasi momento e il server non vedrà mai il testo in chiaro.
Leggi altre domande sui tag authentication