Paradigma challenge-response:
http://es.wikipedia.org/wiki/Protoco...%ADo-respuesta
La contraseña no se envía en claro pero ese token que metas en el JSON se basa en información que proporciona el servidor y en una operación con la contraseña, de modo que nadie pueda contestar al "reto" del servidor sin saber la contraseña. Si el reto contiene elementos aleatorios (el nonce), entonces los ataques por repetición tampoco valen.