PS: WWW-Authorization gibt es sehr wohl, allerdings nur als Responseheader,

Die Antwort auf Authorization heißt WWW-Authenticate, nicht WWW-Authorization.