不是真正的“答案”，但有几点提示：
在没有文档的情况下，您最好对api实现进行反向工程（如果您有，而且是合法的），以了解它在做什么(从原则上讲，您应该能够要求提供api用来散列（或以其他方式）密码的算法的文档，否则它的安全性会受到影响。如果没有：
oru+jlpco/esdwmb0itvbw==是base64编码的二进制文件。如果对其进行base64解码，则得到128位，即md5哈希的大小：0xa11bbe8e5a423bf79277031bd224d56f。
mxgxy21tdxr4bjb0可能是一个salt（即，添加到接收到的密码中以防止字典攻击的内容：md5（“password”）是已知的并且很容易预先计算，而md5（“mxgxy21tdxr4bjb0 password”）不是）。这一点，加上前面的一点，建议您计算salt的md5散列加上其他内容，以产生由base64解码oru产生的128位。。。数据。
pbe代表基于密码的加密，即从密码（在本例中可能是pooface…）生成一个对称密钥（在本例中使用md5），然后使用该密钥用des加密某些东西（可能是加密用户的密码）。请参阅中的“algorithmparameters algorithms”http://docs.oracle.com/javase/7/docs/technotes/guides/security/standardnames.html，和pkcs#5：http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-5-password-based-cryptography-standard.htm.
des是块大小为64位的分组密码，因此输出（即密文）将是64位长度的倍数。这有可能直接存储在示例哈希中，但不太可能，尤其是因为这意味着示例哈希行中的“md5”将毫无意义。
我怀疑（但这只是猜测）：
使用pbewithmd5和des根据密码“pooface”派生des密钥。
用des密钥加密用户的密码。
用md5对salt和密文进行散列，给出128位的散列输出。
base64对哈希进行编码以得到oru。。。价值观。
其他需要考虑的事项：
salt可以用来派生加密密钥。
加密中可能会用到salt。
您说“challenge response”：这可能意味着身份验证应用程序发明了一个质询（可能是一个随机数），然后让客户机根据这个质询和对一些秘密的了解来计算一些东西。挑战可能是盐（但有几个原因说明情况并非如此）。
在pbe中有两个输入：密码（用于导出加密密钥）和被加密的东西。我假设响应是使用从“pooface”派生的密钥（使用pbe/md5）加密的。这可能是错误的方法：使用质询响应派生一个密钥（使用pbe/md5），并使用它来加密“pooface”。不过，在我看来，这种可能性不大。
大概你可以用一个已知的密码（或者质询响应，或者他们称之为什么）创建你自己的用户，也就是说，你可以提供已知的输入，看看你最终得到了什么输出。从相反的Angular 来看这很有用。在弄清楚加密是怎么回事的时候，我还会用到一些实用程序：
编写一个接受密码并输出des加密密钥的java程序（即实现pbewithmd5anddes）。
熟悉openssl命令，它将根据需要进行md5散列、des加密和base64（en | de）编码。
顺便说一句，现在使用md5和des有点差。。。