Slt,

Juste une précision, HTTP Digest ne force pas le stockage en clair du mot de passe. Il requiert juste de stocker le mot de passe + le sel sous une forme particulière qui correspond au hash HA1 ( http://en.wikipedia.org/wiki/Digest_access_authentication ).

Personnellement, j’ai choisi de stocker sous cette forme afin d’être compatible avec Digest tout en gardant la sécurité de mots de passes cryptés : https://github.com/nfroidure/Rest4/blob/master/php/class.RestAuthDigestDriver.php#L59

Le seul inconvénient, c’est que tu ne peux pas faire varier le sel ou l’algo en fonction des clients. En fait, c’est possible pour l’algo, mais dans ce cas, ça impose de tester les différents algos successivement.