Tag Tom.

Aber mal ernsthaft: Hier ist ein Klärungsbedarf vorhanden, der sich mit dem Archiv und der allgemeinen Arroganz auch nicht erledigen lässt. Man könnte durchaus mal ein paar Tipps dazu geben. Leider fallen mir die auch nicht alle aus dem Ärmel. Es gibt sicher RFCs für beide Richtungen und es gibt hier sicher einige Leute, die diese sowohl erklären als auch relativieren könnten.

Mag sein, aber für das konkrete Problem des OP gibt es keine Lösung. Du kannst die Authentifizierungsdaten zwar dem Client irgendwie mitteilen (z.B. mit Cookies), aber du kannst eben nicht beeinflussen, was der Client damit macht, insbesondere kannst du keinen (hier zwingend erforderlichen) Request generieren. Von mir aus nenne es einen Nachteil von HTTP-AUTH, es ist aber nunmal - abgesehen von proprietären (MS-)Techniken - nicht möglich.

Siechfred