Moin,

Naja. Mir ist eben aufgefallen, dass "opaque" zu Digest Auth gehört, was man ja nicht ganz so einfach mit PHP zu implementieren ist, aber ich halte auch das für möglich, vermutlich besteht die Hauptschwierigkeit darin das Passwort zu ermitteln, aber dessen Verschlüsselung funktioniert ja mit dokumentierten Verfahren, ich werde es sicher auch ausprobieren ;-)

Ja, opaque von Digest Auth zu benutzen hätte ich dir als nächstes vorgeschlagen. Ich kann sogar eine fast vollständige (qop=auth-int kriege aufgrund konzeptioneller Probleme mit PHP nicht auf der Serverseite hin, deswegen habe ich es auch nicht für den Client eingebaut, obwohl das wohl nur ein paar Zeilen mehr wären; das Apache-Modul kann das aber auch nicht) Implementierung der Client- und der Serverseite von Digest Auth in PHP bieten.

Wie war das noch mit den Clients und Digest-Auth? IMHO ab 5er Versionen unproblematisch, nur der IE hatte da die ein oder andere Macke, oder?

Nein, Digest Auth ist in allen existierenden IE-Versionen kaputt: Er unterstützt keine Challenges ohne qop, was er eigentlich nach RFC 2617 aus Abwärtskompatibilitätsgründen zu RFC 2069 müsste und er schneidet den Query-Part (Sven: Der Hash-Teil beginnt nach dem # und wird eh nie an den Server gesendet) der URL beim Generieren der Response ab.

Da du aber die Response aber sowieso nur beim ersten Aufruf überprüfen willst (was IMHO eine riesige Verschwendung ist), könnte dir das unter Umständen reichen, wenn du dafür sorgst dass da kein Query-Part bei ist.