Lieber pl,

Authorization Basic hat mit Hash-Methoden gar nichs zu tun.

inwiefern denn nicht? Muss nicht das Passwort mit einem gespeicherten Wert (aka Hash) abgeglichen werden? Ob das der Webserver mittels einer .htaccess-Datei tut, oder ein wie auch immer geartetes Plugin eines wie auch immer gearteten Frameworks, ist dabei doch egal! Und dieser gespeicherte Wert muss ja irgendwo stehen - womit wir wieder bei der üblichen Debatte um möglichen Passwortklau und die damit verbundenen Risiken und Nebenwirkungen bei schwachen Hashing-Algorithmen sind.

Und im Gegensatz zu einem Login mit Session, ist Auth Basic wesentlich einfacher zu realisieren.

Das kommt (wie üblich) darauf an, was das System in diesem Zusammenhang leisten soll. Will ich ein Affenformular so bauen, dass der Server nur noch die fehlenden Daten einfordert und die bereits eingegebenen Daten nicht mehr erneut abfragt, benötige ich eine Session, damit ich die bereits eingegebenen Daten nicht in versteckten Formularfeldern unsichtbar doch wieder abfragen muss.

Eines sollte man jedoch auch beachten, nämlich daß Auth Basic an den URL gebunden ist und nicht an den Inhalt.

Wenn man das mit einer Apache-Direktive via .htaccess macht, ist es an den Pfad (Verzeichnis) gebunden. Implementiert man das mit einer Scriptsprache, kann man das beliebig gestalten und Deiner Forderung entsprechen. Warum man das "an den URL gebunden" handhaben sollte, erkenne ich jetzt nicht. Was sind Deiner Meinung nach die Gründe dafür?

Von daher könnte ich meine Frage hier auch so formulieren: Wie bindet man Auth Basic an den Inhalt? Bspw. so, daß ein URL ohne Parameter ohne Passwort zugänglich ist, mit bestimmten Parametern jedoch ein Passwort erfordert.

Das muss dann wohl die Programmlogik des verwendeten Systems/Frameworks leisten.

Liebe Grüße

Felix Riesterer