<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">This is not 100% correct.  If the other end already has a nonce, it can send the auth headers in the request and not be challenged.</blockquote>

<div><br></div><div>True, but the cases where both sides already have a valid nonce will be rare unless there&#39;s been a recent exchange...</div>