Mivel a szerver a kapott stringgel végez valamilyen műveletet és azt veti össze a nála tárolttal, így szerintem teljesen mindegy, hogy az a kliensen begépelt jelszó, vagy annak egy hash-függvénnyel "megrágott" változata. A sózás lényege az, hogy a szerveren tárolt adatok ne legyenek alkalmasak az adott user nevében bejelentkezni. Ergo a szerveren nem tárolhatod azt, amit ha a szerver megkap, az számára 1:1 jó azonosításra. Ha meg sózott hash-t tárol, akkor a kliensnek is ugyanazzal kell sóznia, amivel a szerver, vagy ahogy fentebb írtam, dupla sózással lehet még mókolni.