Hi Tom,

es gibt nur zwei(-einhalb) Arten, eine Authentifizierung mit HTTP zu errreichen. Entweder über Auth mit error 401 oder über session _mit_ Cookie. Sessions ohne Cookies sind untauglich (Historie).

wieso sind Sessions ohne Cookie Passwortschutzuntauglich?  Man kann doch z.B. checken, ob Username + Passwort korrekt sind, wenn ja, die Session_id in ne Db schreiben und bei jedem Aufruf irgendeiner Seite abfragen, ob sich die Session_id in der DB befindet... dann nochn Timeout setzen, und jedesmal, wenn man was macht, wird dieser neu bestimmt. Ist bei dieser Methode etwa eine Sicherheitsluecke?

MFG

Philipp