Authentification CMS sans base de données pour un utilisateur

Arrière-plan: Mon client a besoin d'un utilisateur unique le système de gestion de contenu "bare-bones", qui devrait être capable de

• Modifier le contenu du texte en texte brut ou en style WYSIWYG
• Peut-être créer de nouvelles sous-pages
• Mettre à jour la galerie d'images, c.-à-d. télécharger des fichiers
• Supprimer les fichiers précédemment téléchargés

Pas besoin de commenter ou une telle interaction.

Exigences:

• PHP
• JavaScript
• Pas de base de données

Actuellement, je prévois de le coder à partir de zéro, car les fonctionnalités sont quelque peu basiques.

Quelle est la meilleure méthode d'authentification disponible pour cet administrateur de contenu isolé? Les options qui m’étaient venues à l’esprit en premier:

1. Solution basée sur .htaccess & .htpasswd
2. PHP mot de passe codé en dur, salé, chiffré avec sessions.

Bien que l'option 2 soit nettement plus élégante, je souhaite que l'option 1 soit suffisante. Le nom d'utilisateur et le mot de passe seraient situés en dehors de la structure de dossiers public_html/www.

Vraie question: L'authentification .htaccess & .htpasswd est-elle suffisante? Est-ce que la sécurité est suffisante? Quels sont les pièges possibles? (OK, la déconnexion est un piège majeur, car il est pratiquement impossible de l'implémenter à cause de la spécification HTTP/1.1 sans état ...)

Question bonus 1: Quelles sont les autres bonnes options auxquelles je n'ai pas pensé? Les idées originales sont toujours les bienvenues. Email-édition? Pourquoi pas :-)

Question complémentaire 2: Existe-t-il des CMS similaires sans base de données facilement disponibles?

Veuillez garder à l'esprit qu'il n'est pas nécessaire d'avoir plus d'utilisateurs ni de gérer les utilisateurs. Je ne demande pas de conseils de programmation, mais plutôt des concepts sur la manière de le faire.

Le RFC 2617 , que j'ai trouvé via le lien ci-dessous de Piers, répond au mieux à ma vraie question