Hallo Marco,

Habt ihr eine Idee?

so PHP als Servermodul vorliegen sollte, sieh Dir bitte HTTP-Authentifizierung mit PHP an. Wenn PHP nicht Servermodul sein sollte, ist mod_rewrite erforderlich und es wird 'etwas' komplex:

### .htaccess  
RewriteEngine on  
RewriteCond   %{HTTP:Authorization} ^(.*)$  
RewriteRule   ^index.php$           index.php?AUTH=%1  [L,QSA]

############################################################################

<?php  
# index.php  
  
if($_GET['method']=='edit' && $_GET['AUTH']!=''){  
   verarbeite_auth_string($_GET['AUTH']);  
}  
else{  
   header('WWW-Authenticate: Basic realm="unberechtigte Methode"',true,401);  
   exit();  
}  
# dein restlicher Steuerfluss  
?>

Das ganze ist ungetestet und sollte nur für Auth-Type "basic" funktionieren, was auf die Sicherheitsstruktur der Methode "digest" zurück zu führen ist. Prinzipiell ist aber auch das möglich, nur gleicht die Apache-Konfiguration dann schon einem beträchtlichen Code-Block eines Programms. Was mich zu einem anderen Punkt bringt.
 Warum erstellst Du nicht für die Methode "edit" ein extra Script? Dieses könnte ganz normal mit einer Authentifizierung geschützt werden. Das hat den Vorteil, die Authentifizierung beim Webserver zu belassen (wo sie eigentlich auch hingehört), somit kompatibler bei Providerwechsel u. d. g. zu sein, und man kann simpel Auth-Methode "digest" verwenden. Heutzutage muss man auch an die Vorratsdatenspeicherung denken. Passwörter würden u. U. mit Auth-Methode "basic" offen sechs Monate zugänglich sein.

(Ganz nebenbei sieht übrigens die HTTP-Spezifikation für Schreibvorgänge auf dem Server, die durch Datenübermittlung per Request angestoßen werden, die HTTP-Methode POST vor.)

Gruß aus Berlin!
eddi