ダイジェスト認証は、チャレンジ/レスポンス メカニズムのフレーバーのように見えます。クライアントとサーバーの両方によってパスワード (MD5 など) と混合されるランダムな文字列があり、そのような混合の結果のみがネットワーク経由で送信されます。
通常、チャレンジ ("ノンス") はサーバーによって選択され、クライアントに送信されます。ダイジェスト認証に関するウィキペディアの記事には、サンプルの「セッション」がリストされています。チャレンジ (「ノンス」) は、サーバーによって選択されます。私は自分のマシンの IIS で同じことをテストしました - 繰り返しますが、課題は IIS によって生成されます。
しかし、このような一部の投稿では、チャレンジはクライアントによって生成されます。クライアントはランダムな文字列を生成し、チャレンジとパスワードの積とそのチャレンジを含むリクエストを送信します。
後者は許可され、広く受け入れられていますか? クライアントはチャレンジ (「ノンス」) を選択できますか?