Hallo Cheatah,

1.) Authentication-Header,
2.) Cookies,
3.) URL-Parameter,
4.) POST-Parameter.

Der Client muss jeweils dazu bewegt werden, sie mitzuliefern (1. entfällt, ist aber nur mit Servermodul möglich; 2. kann abgelehnt werden; 3. muss von Dir _immer_ entsprechend generiert werden; 4. dito, erfordert zudem Formulare für _jeden_ Request), der Server muss die Daten grundätzlich so auswerten, als wäre der Request der erste (was aus Sicht von HTTP auch stimmt).

Wieso entfällt 1.?
Das klappt doch prima mit err401. Man muss nur ebenfalls auf jeder Seite den Zugriff prüfen. Das macht man dann wohl am besten mit mod_rewrite und einer "Access-Maschine". Die wirklichen Seiten liegen dann immer außerhalb des HTTP-Dokumentverzeichnisses.

Mit "Cookie-Sessions" wird doch auch auf jeder Seite geprüft, ob die (logische) Verbindung noch besteht, also der Cookie noch authentisch ist.

Liebe Grüße aus http://www.braunschweig.de

Tom