Moin!

dann müsste ich doch als angemeldeter User "team" beim Zugriff auf den Ordner admin einen 403 kriegen: erkannt und verweigert. Ich kriege aber einen 401. Wieso das? Und wie kann ich nun die beiden o.e. Fälle utnerscheiden? Der 401 scheint irgendwie für beides zu gelten.

HTTP-Status 401 sagt: Mit den gesendeten Anmeldedaten ist ein Zugriff hier nicht möglich, schick was anderes. Beim ersten Zugriff unangemeldet dann eben mit Leerstrings für Username und Passwort - das ist in dem Sinne kein Sonderfall.

Der Browser wird daraufhin das Eingabefeld anzeigen, den Benutzer dadurch auffordern, "bessere" Zugangsdaten einzugeben, und den Request erneut versuchen. Bricht der Benutzer den Eingabedialog ab, zeigt der Browser danach die zusammen mit dem Status 401 gesendete HTML-Seite (analog z.B. zu 404-Fehlerseiten).

403 wird nur gesendet, wenn der Zugriff absolut nicht möglich ist. Bei Passwortzugriff kann er ja möglich sein, wenn man die richtigen Zugangsdaten benutzt.

- Sven Rautenberg