Hallo,

Wenn ein User keinen Zugriff auf eine Seite hat, sende ich den 401 Header Status.

das ist eigentlich nicht so ganz sauber, 401 heißt ja "Authorization required". Ich würde 403 Forbidden für passender halten, vor allem weil der Browser beim 401 normalerweise mit der Anfrage nach Benutzername und Kennwort reagiert.

Den Header Status sende ich folgendermassen (PHP):
header ("HTTP/1.1 401");
Leider wird trotzdem die Seite angezeigt, die eigentlich gesperrt sein sollte.

Ich bin mir nicht sicher, aber müsste es nicht "Status: 401" heißen?

So long,
 Martin