Hi,

Sauberer wäre es IMO, du würdest auf HTTP-AUTH verzichten, dann die Bilder in ein Verzeichnis legen, das mit HTTP gar nicht erreichbar ist (also außerhalb des Document Root) und sie ebenfalls mit PHP ausliefern. Dieses PHP-Script prüft dann die Berechtigung anhand des Login-Status und kann sogar im Fehlerfall ein Ersatzbild ausliefern.

Das kostet aber einiges an Serverleistung, weil dann jedes Bild mit einem PHP-Schaufelchen über die Sicherheitsbarriere geschippt werden muss, statt direkt ausgeliefert zu werden.

stimmt wohl, aber ich glaube nicht, dass die Mehrbelastung wirklich nennenswert ist.

Dass die PHP Authentication und die Bilder-Authentication getrennt sind, scheint Maetzzen ja zu akzeptieren. Wollte man das mit EINER Authentication lösen, dann müsste man den Zugang zum ganzen Internbereich über .htaccess Regeln, sich im PHP drauf verlassen und dort keinen Login mehr machen. Man müsste dann nur wissen, wie man aus PHP auf den im Apache authentisierten User zugreift. Geht bestimmt, hab ich nur noch nie gemacht.

Ja, geht über $_SERVER['AUTH-USER'].

Und wie man mit .htaccess eine ausgefeilte Userverwaltung macht, weiß ich auch nicht.

Mir ist noch nicht klar, wie die beiden Verfahren überhaupt zusammenspielen sollen, d.h. welche Ressourcen für wen zugänglich sein sollen, und warum überhaupt so kompliziert.

Ich kenne das nur mit IIS und ASP.NET...

Damit hatte ich (zum Glück?) noch nicht zu tun.

Ciao,
 Martin