hi,

Ich hab per .htaccess auch schon einen mit Passwort geschützten Bereich gemacht. Das funktioniert auch soweit.
Allerdings kommt die Anforderung zur Passworteingabe nicht mehr, wenn ich den Link zum geschützten Bereich erneut anklicke.

Der Browser merkt sich die Authentifizierungsdaten natürlich im Speicher, um beim nächsten Request einer Ressource aus dem gleichen Realm diese gleich unaufgefordert wieder mitsenden zu können.
Das ist auch gut so™ - denn sonst müsstest du bei einer Ressource, deren Darstellung die Anforderung weiterer geschützter Ressourcen auslöst, z.b. ein HTML-Dokument mit mehreren Bildern, für jede Ressource die Daten erneut eingeben. Das wäre ja höchst unkomfortabel.

Liegt da was im Cache?

Wie beschrieben, der Browser merkt sich die Daten "für die Dauer der Sitzung" - das ist idR. so lange, wie du die jeweilige Browser-Instanz geöffnet hast.

Wie kann ich das verhindern?

Eigentlich gar nicht - einen "Logout" sieht HTTP Auth nicht vor.

Es "funktioniert" teilweise, wenn man den Server veranlasst, auf einen Request hin erneut einen HTTP Status Code 401 Unauthorized zurückzugeben.
Gängige Browser verwerfen daraufhin die bisher benutzten Authentifizierungsdaten, und bringen erneut die Abfrage danach. Wenn du dort dann abbrichst, antwortet der Webserver idR. mit einem 403 Forbidden.

gruß,
wahsaga