Mi cliente actualmente está utilizando Contraseña remota segura (con SSL) para la autenticación. La razón es que no desea enviar la contraseña de usuario en el lado del servidor, para probar que no se almacenan datos confidenciales del usuario en el lado del servidor (solo el salt y el verificador generado en el lado del cliente se almacenan en el lado del servidor , no la contraseña en sí).
¿Es una razón válida? En caso afirmativo, ¿existe algún otro mecanismo de autenticación más estándar (como OAuth, JWT, etc.) que cumpla el mismo requisito?
Tengo una nueva aplicación para asegurar, y es fácil encontrar marcos que proporcionen integraciones listas para usar con mecanismos como OAuth, SAML, LDAP, JWT, pero nadie es compatible con SRP. Debería estar bien y ser menos perjudicial para nosotros utilizar otro mecanismo que no sea SRP.