Hallo,

Aber Der Martin hat doch schon geschrieben, dass 401 fix an das Credential-Fenster gebunden ist. https://forum.selfhtml.org/?t=218943&m=1512333
Genau genommen hat er imho seine Erfahrung geschildert und keine mit Nachweisen untermauerte, standardkonforme Tatsache behauptet ;)

sagen wir mal, ich habe anhand logischer Überlegungen verallgemeinert. ;-)

Und wir widersprechen einander ja auch nicht wirklich, wir betrachten nur unterschiedliche Teilaspekte. Ich habe (pauschal) behauptet, ein Browser, der per 401-Status zur Authentifizierung aufgefordert wird, fragt die Daten sofort vom Nutzer ab, um den Request dann _mit_ Credentials und der (einer) akzeptierten Auth-Methode zu wiederholen.

Und dein Gedanke war, wenn ich es richtig verstanden habe, dem Browser nur einen Auth-Type anzubieten, den er garantiert nicht kennt, so dass er von vornherein darauf verzichtet, die Daten abzufragen - er wüsste ja sowieso nicht, wie er dann damit umgehen muss. Das ist auch irgendwie nachvollziehbar, nur: Welches Ziel hätte man damit erreicht? Welchen Zweck hätte die Auth-Aufforderung, wenn sie nicht erfüllbar ist? Dann kann ich doch das Auth-Gedöns auch gleich lassen - oder übersehen ich den eigentlichen Trick?

Kann man von einem Hack reden, wenn man dem Browser sagt: "Dein user muss sich authentifizieren, aber du kennst die Methode dafür nicht"? Eher nicht.

Nein, eher nicht. Aber von einer unlösbaren Aufgabe. ;-)

So long,
 Martin