Hi,
ein ErrorDocument http://... führt zu einem Redirect zu einem anderen Server, also zu einem Status: 3xx, welchen der Client erhält. Da ist von 401 nicht mehr die Spur zu sehen. Und das ist gut so, denn andernfalls würde der Client sich beim Fremdserver zu authentifizieren versuchen, wovon der Originalserver nichts hätte - und der Client auch nicht.
Alles richtig, aber das ganze mit einem lokalen Perl- oder PHP-Script zu machen, was einen ordentlicher 3er Redirect macht, hab ich ihm schon zugetraut. ;)
wenn er das macht, *existiert* *keine* *Authentication* *mehr*! Diese findet ausschließlich auf dem Originalserver statt, welcher immer(!) dann, wenn sich der User authentifizieren soll, das ErrorDocument 401 zum Client sendet. Wenn dies ein Redirect auf einen Fremdserver ist, dann ist das ein Redirect und *keine* Authentication mehr.
Richtig, und genau das ist auch gewollt.
Wieso sollte dann bei fehlerhafter Auth ein 403 kommen?
Weil Torwächter eine Fehlerseite bei einem anderen Server haben möchte. Das impliziert, dass der Zugriff verwehrt wurde, also 403.
Cheatah