Hallo pl,

Mir ist nicht ganz klar, woran ich (2) und (3) serverseitig erkenne. Der Browser sendet zwar den Authorization-Header, aber in meiner Serverumgebung ist der nirgenwo zu finden.

Die Daten, die der Browser sendet, stehen im Authorization-Header, bei CGI also in der Umgebungs-Variable HTTP_AUTHORIZATION. Ggfls musst du deinen Webserver dazu überreden, diese Variable auch weiterzureichen, bei Apache könnte man das z.B. mit

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

erreichen.

LG,
CK