Безопасная удалённая аутентификация СУБД

Здравствуйте, помогите пожалуйста с решением по вопросу авторизации MySQL.
Итак, есть база данных, созданы пользователи с определёнными правами, созданными не в отдельной таблице, а командами CREATE USER 'name' IDENTIFIED WITH authentication_pam AS 'mysql'. Пользователям присвоены определённые права с помощью GRANT... но это не самое главное.

При авторизации в СУБД мы отправляем логин и пароль в незашифрованном виде.

ЗАДАЧА: Проверить имя пользователя и пароль, если они верны - выслать токен.

УСЛОВИЯ: Пароли не хранятся в открытом виде;
Токен нужен для того, чтобы не вводить логин и пароль на каждой странице;
Токен может быть использован на одном браузере.

ПОМОГИТЕ разобраться с PEM аутентификацией, читал мануал - мало что понял. Спасибо.
http://docs.oracle.com/cd/E17952_01/refman-5.5-en/pam-authentication-plugin.html

WINGUNT
При авторизации в СУБД мы отправляем логин и пароль в незашифрованном виде.

Начнем с того, что это неправда. Такое может случиться, но обычно не происходит при правильной настройке и написании клиента.
Другое дело, если метод шифрования вас не устраивает по каким-то причинам. Но для начала соберите трафик и убедитесь что видите авторизацию с шифрованием, есть и вызов и ответ, все как обычно принято. Может и делать ничего не придется.

WINGUNT
ПОМОГИТЕ разобраться с PEM аутентификацией, читал мануал - мало что понял.

Документация пишется в расчете на необходимый минимум знаний. Если у вас его нет, значит и помощники не помогут.

netwind,

Дело не в том, что я не знаю, но я не нашел, где отправляется хеш функция. Про это ничего не написано, это и смущает.

WINGUNT, не особо понятно, у вас пользователь на сайте вводит логин и пароль от субд что-ли?