esatto, sono "Token one time" generati a partire da una password comune decisa a priori, ed un codice generato dal server (per evitare che un client truffaldino riutilizzi una combinazione MD5+codice sniffata, nel mio caso visto che ilreinvio del codice da client a server non è necessario bisogna sniffare le 2 richieste fatte dal client, la prima in cui il server da il codice, la seconda in cui il client invia l'MD5)
poi la sicurezza è quella che è, ci mancherebbe, ma almeno la password è al sicuro da "sniffatori", per esempio se si usa la rete aziendale o wifi NON nostre.. (uso la millis() per generare codici! quindi se hai pazienza ~50 giorni e hai sniffato a priori.. certo se componessi il codice con DUE long...)
In teoria il codice è da usare in combinazione con una libreria che interpreta le richiete HTTP (anzi, quasi REST! GET, POST, PUT, DELETE), la rilascio a breve... datemi un'oretta 