Nagyon jó, hogy felmerült ez a probléma, ugyanis hasonló cipőben jártam/járok én is.
És nagyon ötletnek tűnik amit xcut mondott!

Nálam is session-ös, mysql-es beléptetés és azonosítás van.
Minden azonosítást igénylő oldal tetején meg van hívva egy ellenőrző kód, ami azonosít.

Viszont egy konkrét mappa fájljai teljesen titkosak, így azokat .htaccess-szel le lehet védeni kívülről.
Csak ezt nem tudtam, hogy hogyan adom át pl. a htaccess jelszavát a session-nek…hogy ne kelljen kétszer azonosítani, szóval ezt kipróbálom.

Hát, én még az rfc-t is elolvastam, de nem találtam ilyen header-t. Számomra az derült ki belőle, hogy az auth cache-t a böngésző csak kliensoldali adatok alapján kezeli. A szerver maximum üríteni tudja a 401-es státusszal, de a böngészőnek még ezt sem kötelessége megtenni, mint ahogy a lynx nem is teszi. De az authentikáció folyamán nincs olyan header, ami felhasználónevet, jelszót a böngésző irányába küldene. Egyáltalán nincs is ilyen kommunikáció, és igazából értelme sincs elküldeni a kliens oldalról kapott azonosítási adatokat a kliensnek. De az auth cache a kliens oldalán van, így ha abba akarokm beletenni, mégiscsak el kellene küldenem.
Tehát számomra kilátástalannak tűnik ez az út, bár nagyon szeretném.

Ezt a C fájlkezelőt nem értem. Nem is tudtam, hogy az Apacha-nak van saját fájlkezelője, azt meg végképp nem, hogy azonosításkor ezzel akár én, akár a kliens találkozik.
Mit is kéne csinálnom pontosabban? (Mellesleg nem is apacha alatt fog futni.)

Apache fájlkezelője: ha nincsen tiltva mondjuk egy oldalnál a könyvtár kilistázása, akkor kilistázza a könyvtárat úgy, hogy generál egy html lapot. Ilyet te is tudsz írni php-vel.

Illetve vannak aranyos apache modulok, mint mysql_auth meg postgres_auth, nézegesd meg őket (persze csak ha saját szervered van.

Még mindig nem értem, hogy az index oldal generálásának mi köze van egy mappán bellüli url lekérése esetén történő jelszókéréshez.
Az adatbázisos azonosítás sem rossz, csak az az azonosítási adatbázis forrását adja meg, nekem meg magán az azonosítás folyamatán kellene változtatnom, aszerint, hogy honnan érkezem. Vagy ezek a modulok azt is tudják, hogy a kérelmező url átadhat jelszót, és akkor nem késztetik a böngészőt jelszókérésre?
egyébként ha igen, félek, nekem az sem lesz az igazi, mert hogy ezek apache modulok, és nálam nem az fut. 🙁

huhh… akkor mégegyszer, hogy mire gondolok:
szóval amikor belépsz egy könyvtárba, amiben nincsen olyan fájl, amit meg kellene nyitnia a directoryindex szerint (pl.: index.html, index.php, index.py, index.jsp stb), és engedélyezve van a könyvtár listázása, akkor kapsz a böngészőben egy listát a fájlokról és a könyvtárakról. Ez egy HTML oldal, amit a szerver generál. Na, ezt kellene „leutánoznod”.