Hallo

Das ist auch irgendwie nachvollziehbar, nur: Welches Ziel hätte man damit erreicht? Welchen Zweck hätte die Auth-Aufforderung, wenn sie nicht erfüllbar ist? Dann kann ich doch das Auth-Gedöns auch gleich lassen - oder übersehen ich den eigentlichen Trick?

Die Antwort ist einfach. Ich kann dem User über die Seite, die mit dem 401-Header gesendet wird, eine Authentifizierungsmöglichkeit zukommen lassen - z.B. per Eingabemaske für Username und Passwort für den systemeigenen, z.b. PHP-/Session-basierten Login-Prozess, der sich ja durchaus von BASIC-AUTH unterscheiden kann, und trotzdem einen bedeutungsvollen HTTP-Statuscode senden - der z.B. Suchmaschinen davon abhält, die Loginmaske zu indizieren oder noch anderweitigen Zwecken dienen kann.

Das macht ein Browser dann wie? Wenn 401 kommt, will der Browser den nächsten Request auf eine bestimmte Art und Weise absetzen. Nun magst du den einen oder anderen *deiner* Browser wegen Open Source so anpassen können, dass er die Eingaben aus einem HTML-Formular in die richtigen Felder des Requests setzt, aber wie sollen das andere Benutzer deiner hypothetischen Seite tun? Die kriegen doch allesamt 'nen 403-er.

Nur weil der Browser die Methode nicht kennt, kennt sie der User eventuell trotzdem :P z.B. dann, wenn auf der mit 401 ausgelieferten Seite ein Loginformular (oder ein Captcha, oder ...) liegt ;)

… mit dem der Browser nichts anfangen kann? :-)

Tschö, Auge