Hi,

1.) Authentication-Header,

Der Client muss jeweils dazu bewegt werden, sie mitzuliefern (1. entfällt, ist aber nur mit Servermodul möglich; [...]

Wieso entfällt 1.?

äh, sorry, ich hab mich missverständlich ausgedrückt: _Bei_ 1. entfällt das Muss, den Client dazu zu bewegen, weil er es bereits von sich aus tut (oder überhaupt nicht kann).

Mit "Cookie-Sessions" wird doch auch auf jeder Seite geprüft, ob die (logische) Verbindung noch besteht, also der Cookie noch authentisch ist.

Nö, der Client sendet den Cookie schlicht und ergreifend zurück, sofern er noch gültig ist und der Request im für den Cookie gültigen Bereich stattfindet.

Cheatah