Hallo und guten Morgen,

der Basic-Auth vom Apache (".htaccess-Schutz") ist ein Verzeichnisschutz. Das bedeutet, dass die Kapselung pro Verzeichnisebene gilt. Ein Benutzer kann dabei entweder Mitglied mehrerer Gruppen sein, oder selber als Einzelbenutzer Zugriff erlangen oder auch beides.

Übermittelt werden aber immer nur die Credentials des Users als ein einziger HTTP/s-Request-Header.

Man kann also nur so eine "Zwiebel" aufbauen, indem man außen herum die globaleren Rechte anordnet und je tiefer man in die Verzeichnisstruktur eindringt, davon nach und nach welche wegnimmt. Das würde bedeuten, dass ein User durch die äußeren Verzeichnisstrukturen noch hindurch kommt, weil er ein passendes Paar "Username:Password" besitzt, aber in ein weiter innen liegendes Verzeichnis nicht mehr hinein darf, weil dafür plötlich andere Rechte (mit einer eigenen .htaccess und .htpasswd, ...) angefordert werden.

Das System wird dann schnell unübersichtlich.

Grüße
TS