Hallo Bernhard,

habe jetzt mal geschaut. Wenn ich in den Chrome Developer Tools sage, er soll den Request wiederholen, dann klappt das.

Kopiere ich die URL und starte sie in einem eigenen Tab, kommt der Login.

Unterschied: Der XHR hat die zusätzlichen Header Origin und Referer. Ob man diese Header aus dem Browser heraus per XHR faken kann, weiß ich nicht.

Ein Nichtbrowser-Client wie Curl kann es bestimmt.

Rolf