Hallo Andreas,
Zweitens mußt Du bei einer eigenen Seite immer eine Session mitschleppen = äußerst häßlich.
Du bringst da was durcheinander.
Eine Session ist gekennzeichnet durch die Wiedererkennbarkeit des Benuzters zwischen den unabhängigen Requests. Ob man das mit HTTP-Auth realisiert, oder aber mittels Cookie oder sonstiger übertragener Schlüssel, ist unerheblich.
Außerdem sorgt PHP schon höchstautomatisch für die erforderlichen Maßnahmen auf Cookie- und "PseudoCookie"-Basis (SID in der URL und den Forms).
Es wurde hier neulich erst ausführlich und mMn auch leicht verständlich erklärt, wie man ein solches System unter Verwendung von "Session-Cookies" (solche, die nicht auf der Platte des Client gespeichert werden) und Umleitungen durch die header()-Funktion aufbauen kann. Das sollte man wiederfinden können.
LG
Chris