При запросе на аутентификацию (запрос клиентом страницы ввода логина/пароля), сервер генерирует псевдослучайное число, которое сохраняет у себя в БД, а также передает клиенту. Это число — идентификатор сессии логина и его время жизни ограничено, например 5 минутами. За это время клиент должен успеть аутентифицироваться в системе. На основании пароля, введенного клиентом, и полученного псевдослучайного числа средствами Java Script генерируется хэш, который отправляется на сервер вместе с самим идентификатором и логином пользователя. На сервере происходит поиск идентификатора в базе, если он успешен, по логину из базы извлекается пароль и высчитывается хэш-функция от пароля и идентификатора (того самого псевдослучайного числа). Если хэши совпадают, логин успешен. Идентификатор из БД удаляется.
Реализация MD4, MD5, SHA-1 на Java Script
Реализация MD4, MD5, SHA-1 на Java Script
