ウィキペディアは、ナンスベースの認証の次の例を示しています。
クライアントはサーバーから nonce を要求します。
サーバーは nonce で応答します (つまり、以降「サーバー nonce」と呼びます)。
クライアントは、サーバー ナンス、独自のクライアント ナンス、およびユーザーが入力したパスワードを使用してハッシュを生成します。
クライアントは、ユーザーが入力したユーザー名、クライアント ノンス、およびハッシュをサーバーに送信します。
サーバーは、おそらくユーザー名を介して、データベースからサーバーナンスとユーザーパスワードの両方を取得します。
サーバーは、サーバー ナンス、クライアント ナンス、およびパスワードを組み合わせてハッシュを生成します。
サーバーは、生成されたばかりのハッシュとクライアントから送信されたハッシュを比較します。
ハッシュが一致する場合、クライアントは認証されます。そうでない場合、クライアントは拒否されます。
これは、サーバーがユーザーのパスワードを平文で保存していることを意味していませんか? 実際のパスワード自体ではなく、ソルト化されたパスワードのハッシュを保存することを推奨するセキュリティ原則に著しく違反していますか?