Puoi utilizzare un file XML come base Dati per utenti e password.
Poi una volta che hai verificato la coppia utente/password metti l'utente in session e
lo verifichi in ogni risorsa protetta.

Devi proteggere il file XML, altrimenti lo si può leggere con il browser.

Cmq,
il miglior metodo è l'utilizzo del DB.

Ciao