Hi Tom.

Es kommt immer darauf an, was zu schützen ist. Möchtest Du nur einen mehrteiligen Bestellvorgang abwickeln und den User beim zweiten Schritt wieder korrekt erkenne, dann dürfte eien ganz normale ID reichen.
Möchtest Du ein geschlossenes Forum von ungewollten Postern schützen kann man vielleicht auch noch den Zeitfaktor mit einbauen.
Möchtest Du ein Extranet mit Kundendaten usw. Deiner Firma aufbauen, dann sollte alles möglich genutzt werden um Unberechtigte garantiert auszusperren.

Kann ich trotzdem noch die Auth-Variablen PHP_AUTH_USER und PHP_AUTH_PW nutzen? Ergänzen die die Session-Verwaltung?

Machbar sicherlich. Ob sinnvoll ist die andere Frage. Anhan ddieser beiden Vorgaben lässt sich ein user ja auch eindeutig identifizieren und macht eigentlich eine ID überflüssig.

Wie schon angedeutet, es kommt immer auf den Zweck an, wieviel Arbeit man sich (und der Server) machen will.

Grüße aus Würzburg
Julian