Moin!

Ein Benutzer kommt an ein Portal und kann sich da "einloggen".

Wie?

Formular? HTTP-Auth? Welche URL hat das Login, welche deine Seite?

Danach sollte laut unserem Gedankengang die Servervariablen AUTH_USER und AUTH_PASSWORD gesetzt sein.

Umgebungsvariablen sind immer nur bezogen auf den jeweiligen, einzelnen Request gefüllt. Du kannst nicht einfach eine globale Variable "User=Name" setzen, weil dieser Username dann ja für alle User gelten müßte. Wie sollte der einem einzelnen Request zugeordnet werden?

Antwort: Entweder HTTP-Auth. Da sendet der Browser die Userdaten jedesmal mit, aber eben nur, wenn man sich innerhalb eines globalen Verzeichnisses befindet. Beispiel:
example.com/ <- Hier anmelden
example.com/deine/seite.html <- Anmeldung gilt auch noch hier.

example.com/login/index.html <- Hier anmelden
example.com/deine/seite.html <- Anmeldung gilt hier nicht.

Wenn Sessions für das Portal verwendet werden, bist du gezwungen, den gleichen Mechanismus auch zur Authentifizierung deiner Seite zu verwenden.

- Sven Rautenberg