hi,

Ich werds über Parameter in der URL machen, schreibe einen eigenen login-Teil und vergesse einfach .htaccess.

Freilich wäre auch eine proprietäre Lösung ohne .htaccess (Serverkonfig) denkbar, die Credentials (user, pass) würde ich jedoch nicht als Parameter im URL übergeben, die sind dann nämlich im Logfile sichtbar, auch in Logfiles etwaiger Proxy-Server.

Vermeiden lässt sich das entweder über POST als Request-Method oder über einen eigenen Header, der nicht Authorization heißt und für den sich nicht der Webserver interessiert, sondern der nachgelagerte Prozess.

Bis dahin ist das jedoch immer noch kein 'Login'. Bei einem Solchen wird zwischen Server-Prozess und UserAgent UA ein Key ausgehandelt, welcher sicherstellt, dass der Authentifizierung folgende Requests von demselben UA stammen. Das Aushandeln dieses sog. Session-Keys kann vor der Authentifizierung stattfinden oder der Server-Prozess vergibt erst dann einen Key, wenn die Authentifizierung erfolgreich war.

Hotti