Wie gesagt: Auch für mich sehen die Request-Header quasi identisch aus.
Deswegen auch der verworrene Bastel-Code im #3.

Also könnte man sagen: Der Fehler ist eher auf der Server-Seite zu suchen?

Mit PHP habe ich auch schon seit PHP-4 nichts mehr am Hut.
Hatte damals mit der Umstellung von PHP-3 auf PHP-4 auf einem Gentoo-Linux ausreichend Probleme, um der ganzen Geschichte Adieu zu sagen^^

Aber ist mein Ansatz, mein Gedanke, in #5 korrekt? Macht man das so?
Oder fällt mir das Ganze wieder auf die Füße, wenn mir irgendwann eine neue Authentication-Methode über den Weg läuft?

Uwe, ich danke Dir trotzdem für dein Bemühen.