Tach!

Also ich würde mir das gerne mal angucken wie das geht, daß bei einem POST (z.B. Forum) eine Passwortabfrage kommt.

Ist es überhaupt sinnvoll, dass die HTTP-Authentication bei einem POST-Request beginnt? Ein POST-Request überträgt Daten, oftmals mehr als bei einem GET-Request. Sollen diese Daten erneut übertragen werden, nachdem der Nutzer die Anmeldedaten eingegeben hat? Wenn der Anmeldezustand innerhalb eines Frameworks ausgewertet werden sollen, muss üblicherweise der gesamte Request empfangen werden, bevor der Webserver diesen an die Application weiterreicht. Je größer die Daten, desto weniger sinnvoll erscheint es mir, dass die HTTP-Auth am POST startet und nicht bereits bei vorhergehenden GET-Requests.

Abgesehen davon ist HTTP natürlich zustandslos, und der POST-Request kann auch ohne Anmeldedaten kommen. Der Fall muss auch abgefangen werden. Aber den würde ich nicht als normalen Use-Case ansehen.

Also nur beim POST und das soll auch über AJAX funktionieren. Unter Passwortabfrage soll der übliche Prompt für eine Authorization Basic verstanden werden.

Bei Ajax-Requests schickt man üblicherweise die Anmeldedaten gleich mit, statt sich einen Mechanismus einzubauen, der die Daten erstmal ohne Anmeldung losschickt und sich die Anmeldedaten erst danach besorgt. In dem Fall weiß man normalerweise vorher, dass solche benötigt werden.

Etwas anders sieht der Fall allerdings aus, wenn man mit Authentisierungsmechanismen arbeitet, die mit zeitlich begrenzen Tokens arbeiten. Hier sollte man seine Anwendung aber so schreiben, dass sie clientseitig mitbekommt, wenn der Token abgelaufen ist, und das Besorgen eines neuen Tokens vor dem eigentlichen Request einschieben.

dedlfix.