hi,

Was ja dann nichts mehr mit dem .htaccess Ansatz zu tun hätte.

ja, weil eben das nicht geht - das sollte doch inzwischen rübergekommen sein.
bei HTTP AUTH möchte der server bei _jedem_ neuen request die zugangsdaten mitgeteilt bekommen.
wenn der client keine mitschickt, fordert der server ihn explizit dazu auf. wenn er welche mitschickt, dann OK.

Der (vermutlich naive) Ansatz dem Browser die "Berechtigung"
z.B. per Header zu übermitteln, ist also nicht möglich?

nein.
der browser selber merkt sich die eingegebeben zugangsdaten idR. nach dem erstmaligen eingeben.

gruß,
wahsaga