Hi,

Natürlich, wieso hast du denn was anderes erwartet?

naiv gesprochen, ja.

Die Idee war folgende

if(http Aufruf von fremden Server)
{
    .htaccess
    Überprüfung ob berechtigt
    if(berechtigt)
    {
       http aufruf vom Server wo auth.php liegt
       .htaccess lässt diesen Aufruf durch

}

}else if(http Aufruf vom auth.php Server )
{
    direkte Weiterleitung auf die URL

}

Du leitest eine Anfrage nach Ressource X auf ein Script um, das irgendetwas prüft - und danach dem Client mitteilt, er sollte bitte wieder Ressource X anfragen.

Wichtig ist, dass der Apache die auth übernimmt, ohne das der User einen Dialog bekommt in dem er Benutzername und Passwort eingeben muss.

Dann willst du gar kein HTTP Auth nutzen.

Wenn es die Möglichkeit gibt, intern im Apache zu überprüfen, ob die URL unter bestimmten Restriktionen ausgeliefert werden kann, würde ich diese Lösung eindeutig bevorzugen.

Birdy