Hallo seth,

wenn man sich erfolgreich eingeloggt hat, wie loggt man sich dann wieder aus?

gar nicht. (Wir sprechen doch noch von HTTP-AUTH, oder?)
Es gibt ja genaugenommen auch kein Login.

Sondern der Server antwortet beim Zugriff auf eine bestimmte Ressource, "Kriegst du nur gegen Ausweis". Der Browser fragt danach Benutzername und Kennwort ab und versucht den Zugriff dann nochmal, wobei er jetzt die eingegebenen Benutzerdaten gleich mitschickt. Damit ist die Aktion eigentlich zu Ende, das war eine einmalige Sache.
Der Eindruck, man sei "eingeloggt", entsteht nur dadurch, dass der Browser die Benutzerdaten speichert und bei allen weiteren Zugriffen auf denselben Host gleich automatisch mitschickt.

anders gefragt: nach welchen kriterien stellt apache fest, ob man noch eingeloggt ist?

Der stellt das überhaupt nicht fest.

oder fragt apache einfach jedes mal nach und es liegt stattdessen im ermessen des browsers, ob er die zugangsdaten erneut sendet?

Exakt. Und der Browser "vergisst" diese Daten üblicherweise erst beim Schließen. Okay, man kann bei einigen Browsern die HTTP-AUTH-Daten auch von Hand löschen und dadurch so etwas wie ein Logout erzwingen. Das ist aber nicht selbstverständlich.

wo kann man das genauer nachlesen? vielleicht sogar hier im archiv?

Ganz sicher. Ich hab nämlich schon viele sehr ausführliche Beiträge dazu hier im Forum gelesen.

Ciao,
 Martin