Hi Christian,

Bei Server Authentication käme Deine Anwendung an das Passwort nicht
ran - das erledigt der Webserver selber.
Das ist so nicht ganz wahr ;-) Server-Authentification bedeutet nicht
zwangsweise .htaccess -- man kann das durchaus Script-gesteuert machen.

Das ist für mich aber keine _Server_ Authentication mehr.
Unter Server Authentication verstehe _ich_, die Authentifizierung via HTTP-Header _vom_ Server gemäß RFC irgendwas erledigen zu lassen.
Natürlich muß das kein .htaccess sein (verwende ich selbst im Apache ja auch nicht mehr), und es muß auch kein Apache sein (Server Authentication sollte jeder HTTP-Server verstehen).
Wenn Du so etwas in einem Skript selbst realisieren willst, kannst Du auch gleich einen Webserver schreiben. ;-)

Bei PHP gibt es dafuer sogar ein eigenes Kapitel im Handbuch:
http://www.php.net/manual/de/features.http-auth.php

Klar - man kann alles selber programmieren. Aber warum sollte ich das tun wollen?
Ich könnte ja dem Apache eine andere Authentifizierungsquelle "unterschieben", beispielsweise
http://httpd.apache.org/docs/mod/mod_auth_dbm.html
http://httpd.apache.org/docs/mod/mod_auth_db.html

Ich kann mir im Moment keinen Fall vorstellen, wo meine Anwendung sich dafür
interessieren würde, _warum_ sich der Benutzer korrekt ausweisen konnte.

Viele Grüße
      Michael