Verwende nicht die Http-Auth sondern eine auf session-varibalen beruhende Auth-Methode, wie z.B. pear-auth. Diese hat den Vorteil das du Lebenszeit einer Sitzung selber bestimmen kannst. ( wie mit std. hhtp-auth, benutzerbezogen/Session geht bei Neuanmeldung weiter usw.)