Halihallo

Wieso? - Du schickst den HTTP-Header "Authentication Required", falls kein $ENV{AUTH_TYPE} gesetzt ist, dann kommt im Browser der Dialog. Gibt der User seine Logininfos ein, kommt ein neuer Request auf das Script, diesesmal jedoch die %ENV zur Authentication gesetzt, diese kannst du dann auslesen ($ENV{REMOTE_USER}, ...) und verifizieren, ob der Login richtig ist. Ein "Autentication Failed" - Header falls nicht, die gewünschte Seite falls richtig. Die Authentication-Informationen sind in der aktuellen Browser-Session gültig, du musst sie jedoch mit jedem Zugriff neu überprüfen.

Ich glaube, das war eine Fehlinformation von mir. REMOTE_USER wird IMHO nicht durch den Apachen übergeben, ausser man programmiert mod_perl oder mod_auth um??? - Sorry. Zumindest habe ich diesbezüglich nix im web gefunden.

REMOTE_PASS meinte ich. Warum wird dies eigentlich nicht übertragen? - Wäre IMO sinnvoll, natürlich auch eine potenzielle Sicherheitslücke. Wie geht dann (oder überhaupt?) eine Authentication _nur_ über CGI (nicht über .htaccess)?

Viele Grüsse

Philipp