Pues el tema resume este hilo.

Sé hacer cookies, en plan de guardar cualquier valor y parámetro, pero...

Llevo 2 días dándole vueltas al tema: ¿cómo se deben hacer las cookies para recordar contraseñas? Quiero decir, que sean java y javascript quienes "auto-rellenen" el formulario, pero que sea mínimamente decente (no guardar contraseñas en texto plano, etc)

¿Se deben hacer las cookies en Javascript antes de enviar el formulario? ¿O se deben hacer en el servidor con java una vez que se compruebe que el login está correcto?

Luego, la encriptación de la contraseña. Hay que encriptarlas, claro... Y ahí está el problema: si yo encripto la clave, luego el navegador auto-rellenará el input de la password con "ip0cum51blm1u8g8v2mbbsrfu5" y cosas así, porque es lo que está guardado en la cookie.

Perdón, pero es que me estoy liando.

---------

Después de despejarme la cabeza un rato, he pensado en lo siguiente:

Hacer 2 encriptaciones: una con SHA, que como es asimétrica no se puede desencriptar. Perfecto, esa la envío al servidor y la guardo en la BD.

La otra encriptación será simétrica (o sea, que se puede volver a desencriptar con una clave secreta). Esa la guardo en una cookie en el navegador del cliente y fin.

Y que sea el propio Javascript quien se encargue de encriptar antes de hacer el submit, y adiós muy buenas.

¿Es una buena solución? ¿Soy un chapuzas?