Comment sécuriser l'authentification mais pas la charge utile?

Question

Je recherche un protocole HTTP existant pour la sécurisation de l'authentification, mais pas la charge utile qui suit. Je souhaite que le serveur stocke le nom d'utilisateur, le mot de passe haché et un sel différent par utilisateur.

L'authentification HTTP Digest ne répond pas à ces exigences car tous les comptes utilisent le même sel. SSL échoue car il crypte toute la connexion.

Modifié pour ajouter:

Il s’agit d’un client de bureau qui communique avec un service Web (aucun navigateur requis)

Answer 1

Pourquoi ne pas simplement protéger votre mécanisme d'authentification par SSL, puis le transférer au reste de votre application fonctionnant sous HTTP normal?

Answer 2

Le schéma populaire consiste à faire en sorte que le formulaire de connexion soit protégé par SSL, alors que le reste du site n'utilise pas SSL. Voir par exemple les sites de réseaux sociaux populaires.

Answer 3

Qu'en est-il d'OpenID? Y a-t-il une raison pour laquelle vous devez stocker des informations d'authentification?

Modifié pour ajouter

Désolé, je n'ai pas compris qu'il s'agissait d'une application de bureau. Que diriez-vous de OAuth ?

Answer 4

Existe-t-il un moyen de structurer l'URL de la demande d'origine pour indiquer l'utilisateur? Ensuite, le serveur pourrait répondre avec un domaine différent (agissant en tant que "sel") pour chaque utilisateur de la réponse d'authentification de résumé HTTP. Par exemple, les URL de demande de la forme http://user.y.com/service ou http://www.y.com/user/service donneraient lieu à une réponse au défi comme:

WWW-Authenticate: Digest realm="user@y.com", nonce="oqa9hvq49krprkphtqc"

Pouvez-vous expliquer en quoi consiste le " pas de cryptage " mandat? Si vous êtes sujet à des attaques d'interception, vous devez protéger l'intégrité de toute la requête. Là, SSL serait très utile. Si vous ne pouvez absolument pas utiliser le chiffrement, utiliser une suite de chiffrement non chiffrée avec SSL serait-il acceptable?