Man kann auch prima 401 ohne WWW-Authenticate zurücksenden. Ob das Sinn macht, sei mal dahin gestellt, möglich ist es.Y0Gi hat geschrieben:Jener Header ist afaik dafür da, zwischen Basic/Digest/Sonstwas-Auth zu unterscheiden. Abhängig davon könnte der Browser natürlich unterschiedlich reagieren. Ob mit oder ohne diesen der gewünschte Dialog aufpoppt oder nicht, ist allerdings insofern irrelevant, weil nur mit beidem (Statuscode und der Header) zusammen ein Schuh draus wird.
Der Browser wird dann keine Authentifizierungsinformationen vom User erfragen, weil die Website ja nicht nach Authentifizierung verlangt