Hallo Jens,

es gibt keine Session; http baut im Prinzip für jede Resource eine neue Verbindung auf und schließt sie dann wieder. Die Authentifizierung wird deswegen jedesmal neu ausgehandelt, die Browser merken sich jedoch eine Anmeldung solange sie nicht geschlossen werden und schicken solange jedesmal die selben Daten wieder mit, außer sie erhalten irgendwann die Antwort 403, woraufhin sie die eingegebenen Daten verwerfen und den Benutzer erneut fragen.

Das hört sich nun so an, als macht es doch der Server, der nach einer bestimmten Zeit sagt: "Schacht im Schicht" und dem Clienten nur noch ein 403 zurückgibt...!? hmm, dann müsste es irgendwo einstellbar sein, oder?

Das ist jedoch ein Problem des Benutzers xy, wenn er jemand anderen seine Benutzereinstellungen nutzen läßt. Darum brauchst du dir aber sowieso keine Sorgen machen, denn dann könnte za auch auf das Login zugreifen, weil xy z.B. die Daten im Browser gespeichert hat.

Wenn man nichts irgendwo speichert, also der Browser das Passwort _nicht_ speichern soll, dann wäre man ja trotzdem noch angemeldet. Der "folgeuser", der nicht authorisiert sein soll, braucht nur in der History oder im "Verlauf" nachzuschlagen und schon ist er drin... naja, das ist ja dann auch egal 8]

Wauwau