Как реализовать дайджест-аутентификацию в Java?

Я знаю, что это очень широкий вопрос, но я не собираюсь задавать вам полную реализацию (я знаю, что есть библиотеки, которые сделают это для меня). У меня есть несколько небольших вопросов по этому поводу.

1. Должно ли значение nonce указываться в заголовке http?
2. Как прочитать одноразовый номер из заголовка http на стороне клиента?
3. Как отправить обратно одноразовый номер на сервер? Может быть, в скрытом поле? или браузер будет делать это для меня для каждого последующего запроса?
4. Относительно клиента nonce (cnonce) я должен отправить это так же, как любое другое поле или скрытое поле?
5. Как мне вернуть cnonce с сервера? так же, как одноразовый?

В моем проекте я использую сервлеты для генерации html-страниц, и у меня есть сервлет для обработки формы входа http.