Hallo,

Mich würde jetzt noch interessieren, wie ich das mit 401 machen muss, damit der Browser NICHT das Fenster für die Credentials aufklappt. Meine Authentifizierung findet cookies.only statt :-)

Wenn also kein Auth-Cookie mitkommt, bekommt der Client demnächst die Antwort 401 - mit Angabe, wie bzw. wo er sich ein Token holen kann - vorausgesetzt, ich krieg das hin ohne das Fenster!

es geht nicht. Status 401 und HTTP-AUTH sind untrennbar miteinander verknüpft. Sobald du 401 sendest, wird der Browser immer sein eingebautes(!) Abfragefenster für die nötigen Credentials aufpoppen lassen, das AFAIK auch nicht mit einem eigenen Design gepimpt werden kann.

Wenn du eine andere Form der Authentifizierung willst, z.B. wie angedeutet über Cookies, musst du das serverseitig selbst managen, aber um Himmels Willen keinen 401 senden.

Bleibt nur das Problem, dass ich noch nnciht weiß, wie der Browser darauf reagiert, wenn er anstelle eines Bildes dann einen Text bekommt. Muss ich erstmal nachschauen und ausprobieren, ob das überhaupt zulässig ist und geht, dass man einem <img>-Request einfach durch einen anderen Content-Type mitteilt, dass ätsch ist!

Klar geht das - du kannst mit einem img-Element eine Bildressource anfordern, und in Wirklichkeit sendet der Server unter http://example.org/iwantaphoto.jpg eine HTML-Ressource mit dem "passenden" Content-Type text/html. Technisch kein Problem.
Der anfragende Browser wird dann aber sein "broken image"-Symbol anzeigen, weil er die Serverantwort nicht als Bild interpretieren kann, was in dem Kontext aber notwendig ist.

So long,
 Martin