Hallo Tobias,

Ich hoffe ich bim mit meiner Frage hier Richtig bei HTTP.

Ist sie.

Wie kann eigentlich der Passwortschutz von htaccess den Client eindeutig identifizieren?

Kann er nicht. :-)

Beim ersten Zugriff eines Browser auf einen geschützten Bereich antwortet der Server mit einer Fehlermeldung "401 Authentication Required". Der Browser zeigt daraufhin das Fenster zum Eingeben der Benutzerdaten an. Wenn man jetzt auf Abbrechen drückt (bzw. drücken würde), dann erscheint genau die Seite, die zusammen mit dieser Fehlermeldung geschickt wurde. Wenn nun der Benutzer Benutzername + Passwort eingibt, dann schickt der Browser eine 2. Anfrage, diesmal allerdings mit Benutzernamen und Passwort versteckt im HTTP-Header. Der Server überprüft diese nun. Wenn sie stimmen, schickt der Server die richtige Seite zurück, wenn sie nicht stimmen, schickt der Server wieder die gleiche "401 Authentication Required" Fehlermeldung und das Spiel geht von vorne los.

Wenn der Browser nun auf weitere geschützte Inhalte zugreift, schickt er JEDES MAL Benutzername und Passwort im HTTP-Header mit, um sich zu authentifizieren.

Viele Grüße,
Christian