Hallo Rolf,

Ein Ajax-Request ist meines Wissens ebenfalls mit dem Session-Cookie unterwegs,

Kommt drauf an[tm]. Die neue fetch()-API erwartet, dass man { credentials: "same-origin" } setzt, damit Cookies und HTTP Authentication headers übertragen werden.

Ansonsten: guter Beitrag. Mir hat gefallen, dass du nicht den üblichen Fehler propagiert hast, einfach nur ein Geheimnis als Login-Cookie zu übertragen, sondern die password-API vorgeschlagen hast. Eine kryptografische Verifikation ist wichtig.

Allerdings würde ich bei so einem Verfahren eher dazu übergehen, die verschlüsselte User-ID in den Login-Cookie zu schreiben. Das könnte man mit der mcrypt-API erreichen. Ich denke aber nicht, dass man damit an Sicherheit gewinnt; das ist wohl eher eine Geschmacksfrage.

LG,
CK