Bueno según lo que entiendo no quieres enviar el campo password a través de las peticiones request, de todas maneras la contraseña va a ser enviada a traves del request.

Si lo que quieres es seguridad para que no sepan cual es la contraseña debes trabajar de esta manera.

1.- La Contraseña debe estar guardada en el servidor encriptada preferible que sea de la siguiente forma SHA1(TOKEN + PASSWORD), es decir en tu Base de Datos.

2.- El Token debe estar guardado en un archivo aparte o en una clase que esta en tu servidor, el token debe contener de preferencia para mayor seguridad números, letras, otros caracteres y que sean Mayúsculas o Minúsculas.

3.- No hay que realizar como lo estas planteando en encriptar la contraseña en el lado Cliente y luego Obtener la Contraseña en el lado del Servidor y encriptarla y validarla ¿Porque? Esto haria que el hacker podria saber el algoritmo de encriptacion y a traves de Rainbow Tables obtener tu password

4.- La forma correcta de hacerlo es enviar tu password que el servidor lo encripte, luego toma la contraseña ya encriptada de tu base de datos y compararla de tal manera que sea un poco difícil poder saber si realmente lo que se esta enviando es la contraseña correcta.

Pero a pesar de todo aun la contraseña no es aun segura, te recomiendo que leas este articulo el cual explica una encriptación de contraseña a un nivel muy seguro.

http://net.tutsplus.com/tutorials/ph...asswords-safe/