Да, для ввода пароля, чтобы не варганить перенаправление туда-сюда, проще воткнуть на главную iframe с https-мордой формы аутентификации. Сервер по https получает пару логин-пароль, проверяет по БД, генерирует ключ, сохраняет его в БД и отдает клиенту. Все.
Ну короче чего, вот есть у тебя база данных, там есть таблица users, там есть поля id,user_name,pass_hash. Id — автоинкрементное поле, user_name — имя пользователя берётся во время регистрации, pass_hash — md5 хэш от пароля, указанного при регистрации.
В этой таблице обычно с id 0 идёт админ, с id 1 допустим anonymous.(т.е. первые две записи сразу создаёшь сам).
Будем хранить инфу о логине в $_SESSION.
Теперь процедура логина:
Функция возвращает true если пользователь уже залогинился и false, если нет.
Теперь есть скрипт в котором if (!islogined()) { print_login_form(); } else { print_greetings(); }
Теперь где-то есть форма, в которой 2 поля с name='login' и name='password' и action = /login.php type='post' и input button type='submit'
И в этом login.php вызываешь функцию try_to_login($_POST['login'], $_POST['password']); header(«Location: $_SERVER[HTTP_REFERER]»); exit;