Moin,

ich programmiere nun schon seit langer Zeit Webanwendungen aber neulich Nachts ist mir eine Frage gekommen, die ich mir noch nicht beantworten konnte. Auch sämtliche Recherchen meinerseits blieben leider erfolglos. Es geht dabei um die Benutzerauthentifizierung per .htaccess - allerdings die Funktionsweise im Detail.

Bitte, bitte schreib jetzt 100 mal an die Tafel: "Es gibt keine .htaccess-Authentisierung". Nein, wirklich nicht. .htaccess hat absoult überhaupt nichts damit zu tun. Du suchst Informationen über "HTTP Authentication". Die verbindlichen Quellen dazu sind RFC 2616 und RFC 2617.

Mein Browser greift auf eine Seite des Webservers zu, die per .htaccess geschützt ist. Nennen wir diesen Zugriff mal Request 1. Der Webserver findet die .htaccess, interpretiert diese und schickt meinem Browser einen 403,

Nein, tut er nicht. Er schickt einen 401, das ist ein himmelweiter Unterschied.

welcher daraufhin Benutzername und Passwort abfragt. Das ist Response 1. Ich gebe meinen gültigen Benutzernamen und das richtige Passwort ein - Request 2. Woher weiß der Webserver bei Request 3 und höher, dass ich die gleiche Person bin, die sich zuvor in Request 2 authentifiziert hat???

Gar nicht, das braucht er nicht. HTTP ist ein zustandloses Protokoll welches nur Anfrage und Antwort kennt. Anfrage und Antwort, Anfrage und Antwort, ... Eine Anfrage für eine geschützte Ressource, der keine authorisierten Authentisierungsdaten beiliegen wird mit 401 beantwortet. Eine Anfrage für eine geschützte Ressource, der authorisierte Authentisierungsdaten beiliegen wird verarbeitet und entsprechend dem Ergebnis der Bearbeitung beantwortet.