Hi Daniel,

Zusammenfassung: Ich würde also gerne

• den Login in meinem HTML-Formular belassen
• die Daten "User" und "Passwort" in meiner MySQL-DB lassen und
• einen Verzeichnisschutz einrichten, der genau dieses Verzeichnis schützt und nur bei Login freigibt.

Fordering 1 bewirkt, daß Server Authentication ausscheidet.

Würdest Du darauf verzichten können, dann hätte ich Dir für Forderung 2 und 3 den Einsatz von mod_auth_mysql empfohlen.

Falls Du Forderung 1 unbedingt brauchst, kannst Du Dein Problem dadurch lösen, daß Du _sämtliche_ Seiten durch ein Zugangskontrollskript auslieferst, statt auf die eigentlichen Seiten zuzugreifen.

Die wesentliche Frage ist, wo in der Zwischenzeit das Wissen über die erfolgreiche Authentifizierung gespeichert bleiben soll - Cookies sind nicht schön, Query-Strings sind als Einsprungpunkte auch nicht so toll (weil sie Bestandteil von Log-Dateien sind, als Referrer durch das Web wandern und anderes mehr).
Bei der Verwendung von ServerAuthentication hättest Du dieses Problem nicht.

Für Deine Randbedingungen kann ich nichts Besseres vorschlagen als das Session-Modell von Ralf.
Aber ich würde Forderung 1 noch mal hinterfragen.

Viele Grüße
      Michael