Was spricht denn gegen die Verwendung von Sessions? HTTP ist nun mal ein verbindungsloses Protokoll. Sessions haben den Vorteil, dass ich auf dem Server fast beliebig viele Daten von einer Seite zur anderen übertragen kann, ohne dass der Client sie ändern kann.

Gegen HTTP-AUTH spricht meiner Meinung, dass Login/Passwort jedesmal im Klartext übers Netz gehen.

Wenn sicherheitskritische Daten übertragen werden, sollte man evtl gleich SSL benutzen.

Greetings,
Charlie07