Hallo!

Wenn man über .htaccess eine Seite schützt und der Anwender sich korrekt anmeldet, hat er dann anschließend die Möglichkeit sich auch wieder abzumelden, damit die Anmeldedaten nicht irgendwo herumhängen?

Wie ich gelesen habe verwendest du HTTP Basic Authentication. Da gibts eigentlich kein einloggen und daher auch kein ausloggen.
Benutzername und Passwort müssen bei jedem HTTP Aufruf durch den Client explizit mitgesendet werden, ansonsten verweigert dir der Webserver das Ausliefern der Seite.

Alle mir bekannten Webbrowser sind so nett und merken sich nach der ersten Eingabe deinen Benutzernamen und das Passwort und senden es bei jedem weiteren Aufruf automatisch mit und fragen dich nicht mehr danach.

Wenn jetzt dein Browser die URL http://example.com/secure aufruft und diese per HTTP Basic Auth. geschützt ist, dann sendet der Server einen Status Code 401 zurück und dein Browser weiß, dass er jetzt das Fenster für Benutzername und Passwort anzeigen muss. Du gibts das ein, dein Broser codiert das mit BASE64 und ruft die gewünschte URL mit einer zusätzlich Headerzeile mit
Authorization: Basic ssdfsffsf245
auf. Der Webserver sieht jetzt diese Headerzeile, decodiert Benutzername/Pwd und liefert dir die Seite aus oder verweigert wieder mit Status 401, wenn Benutzername/Pwd nicht stimmen.

Für jeden weiteren Aufruf merkt sich der Browser, dass der Server hier eine Authentifizierung möchte und sendet diese zusätzliche Headerzeile mit.

Wie lange er sich das merkt, hängt wohl von der Implementierung im Browser ab.

mfg
  frafu