PHP 的 HTTP 基本身份验证的password_hash编码

我的问题：

我需要通过HTTP进行基本身份验证（客户端负担不起HTTPS）。所以我不担心通信是否未加密。我只是想防止某些用户嗅探和使用密码（网站仅用于上传照片，这些照片是公开的。

我可以使用的工具箱：

1. 爪哇语
2. .PHP
3. 沙512.js

SHA 算法在 PHP 和 JS 中是相同的：

证据：（？

<?php 
$password= "password";
echo hash('sha512',$password);
//outputs: b109f3bbbc244eb82441917ed06d618b9008dd09b3befd1b5e07394c706a8bb980b1d7785e5976ec049b46df5f1326af5a2ea6d103fd07c95385ffab0cacbc86
?>

在JS中（我的所有文件都用utf8编码）

document.getElementById("hiddenField").value
= JS.sha512("password");
//outputs b109f3bbbc244eb82441917ed06d618b9008dd09b3befd1b5e07394c706a8bb980b1d7785e5976ec049b46df5f1326af5a2ea6d103fd07c95385ffab0cacbc86

但是，我不能简单地在每个连接上发送相同的哈希值，否则任何人都可以嗅探它并将其发送到连接。

所以我的想法是使用password_hash()功能作为盐发生器。

password+salt）的哈希是公共的，但密码是私有的，永远不会以明文形式发送：服务器将从客户端计算（希望）与JS中的哈希相同的哈希，并验证两个哈希是否匹配。

问题是，无论我做什么，当我对该函数的输出进行哈希处理时，我都无法获得相同的输出（password_hash）。这似乎与编码有关。

我想使用password_hash()因为它已经考虑了很多安全的东西：

Javascript：

document.getElementById("hiddenField").value
= JS.sha512("password" +  document.getElementById("publicToken").value);

我将"password_hash"内容放入另一个隐藏的表单字段中，我称之为"publicToken"。无论我做什么，我都无法获得哈希匹配：

<?php 
$salt = ut8_encode(password_hash("another_password")); //doesn't work either

最后，我该怎么做才能获得正确编码的盐？

<?php
$salt = //... one time usage salt.. but what to put here?