Hallo

… Ich kann dem User über die Seite, die mit dem 401-Header gesendet wird, eine Authentifizierungsmöglichkeit zukommen lassen - z.B. per Eingabemaske für Username und Passwort für den systemeigenen, z.b. PHP-/Session-basierten Login-Prozess, der sich ja durchaus von BASIC-AUTH unterscheiden kann, …

Das macht ein Browser dann wie? …

Ich glaube du (Martin auch?) verstehst mich vollkommen falsch. Nein, er soll nicht die Eingaben aus dem HTML-Formular in den Request setzen. Das HTML-Formular wird per Post mit den Anmeldedaten an PHP geschickt, dieses setzt bei richtiger Eingabe für diese Session-ID den Angemeldet-Status und liefert dann, statt wie bisher den 401-Header und die Eingabeaufforderung, einen 200-Header und den Content.

Was hat das dann aber mit den 40x-hHeadern zu tun?

Ich rede die ganze Zeit von einem selbstgeschriebenen Anmeldesystem (PHP-/sessionbasiert), das ohne jegliche spezielle Browserunterstützung auskommt, aber trotzdem in der Lage sein sollte, aussagekräftige Statuscodes zu verwenden. Ohne, dass dabei ein Anmeldefenster für BASIC-AUTH aufpoppen soll...

Das geht aber nicht, wenn du die 40x-er verwendest. Wenn 401 kommt, wird der Browser eine Auth-Eingabeaufforderung welchen Levels auch immer, muss ja nicht Basic-Auth sein, anzeigen.

Tschö, Auge