Usted no puede confiar en la sensatez lado del cliente JavaScript para determinar si las credenciales del usuario son correctos. El navegador (y todo el código que lo ejecuta) está bajo el control del usuario, no usted, por lo que no es confiable.
El nombre de usuario y la contraseña deben ingresarse mediante un formulario. El botón Aceptar será un botón de enviar. El atributo de acción debe apuntar a una URL que será manejada por un programa que verifica las credenciales.
Este programa podría escribirse en JavaScript, pero la forma de hacerlo dependerá de qué server side JavaScript engine esté usando. Tenga en cuenta que SSJS no es una tecnología convencional, por lo que, si realmente desea utilizarla, deberá utilizar un hosting especializado o administrar su propio servidor.
(Media década después y SSJS es mucho más común gracias a Node.js, aunque todavía es bastante especializado).
Si desea redireccionar después, entonces el programa necesita emitir un HTTP Location header.
Tenga en cuenta que debe verificar que las credenciales estén correctas (generalmente almacenando un token, que no es la contraseña real, en una cookie) antes de imprimir una página privada. De lo contrario, cualquier persona podría acceder a las páginas privadas conociendo la URL (y omitiendo así el sistema de inicio de sesión).
Aunque no está claro exactamente lo que quiere, usando javascript para manejar inicio de sesión y la redirección no es una gran idea, como un usuario experto puede fácilmente derivación restringe como esto . – micmcg