... noch besser ists für den Programmierer, wenn solche Sachen aus dem Code ganz raus sind.

Du meinst bei HTTP-Authentifizierung?

Nein, eben nicht. Betrachte einen Loginprozess (Autentifizierung) als eine von Autorisierung unabhängige Sache (das ist NICHT Authorization Basic per HTTP).

Ich mache es nun aber komplett mit php und da muß es irgendwie in den Code. Oder was meinst du?

Ja, das Login wäre zu programmieren. Du baust eine Session auf und in der Logintabelle (die kannst Du in $_SESSION halten) steht nach einer erfolgreichen Anmeldung der Name der Benutzergruppe drin.

Auch noch zu Programmieren: Jeder Request schaut in die Logintabelle nach der Gruppe. Je nach Gruppe wird eine der Autorisierung entsprechende Routingtable geladen, so ist der Rest dann aus dem Code raus, d.h., das letzte Stück Code, was Inhalte oder Anwendungen ausliefert, muss sich um die Autorisierung nicht mehr kümmern.

Horst