Hallo,

wenn der Server das 401-Doc _sofort_ mitsendet, ist das Verhalten einfach nachvollziehbar.
Diese Tatsache war mir leider wirklich unbekannt und fuer mich aus _keinem_ der bisherigen Postings ersichtlich.

Aus der Aussage im Apache-Manual geht das aber hervor. Du hattest bisher auch nicht angedeutet, wie Du HTTP-Authentication verstanden hast.

Um Unklarheiten zu beseitigen, sollte man sich die entsprechenden Spezifikationen nochmals ansehen.

http://www.w3.org/Protocols/rfc2616/rfc2616.html
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2

http://www.ietf.org/rfc/rfc2617.txt

Beachte, dass der Response "401 Unauthorized" heißt und nicht "Authentication denied". Letzteres würde mit dem verbindungslosen HTTP auch gar nicht funktionieren. Der Server weiß nämlich, wenn er einen Request mit einem Authorization request-header field bekommt, gar nicht, ob er vorher mit einem 401 geantwortet hat. Zwischen dieser möglichen Antwort und dem Request mit Authorization request-header field können tausende andere Requests liegen. Er prüft einfach, wenn die angeforderte Ressource es erfordert, weil sie geschützt ist, ob es überhaupt ein Authorization request-header field gibt und wenn ja, ob die darin gelieferten Daten mit den gespeicherten notwendigen Daten zur Authentifizierung übereinstimmen. Wenn beides ja, wird die Ressource ausgeliefert, wenn eines nein, gibt es wieder ein 401 Unauthorized.

viele Grüße

Axel