Das beantwortet nicht die Frage, warum du AJAX für dein Vorhaben nutzen willst/wolltest.

ich muss für jeden request/jede interaktion mit dem server die authentifizierung per http-auth-header mitsenden. wenn du eine passende umgehung dessen per "stinknormalem link" weißt, freue ich mich :-)

Und wieso erwähnst du es dann, wenn es mit dem Thema eigentlich gar nichts zu tun hat?

das habe ich extra erwähnt, weil ich ahnte, dass es zuallererst antworten geben wird, dass ajax nicht geeignet ist.

Stinknormaler Link mit target="_blank".
Jeder vernünftige Browser sollte damit derart umgehen können, dass er das damit erzeugte neue Fenster/Tab automatisch wieder schließt, sobald er merkt, dass er als Antwort auf den Request nichts bekommt, was er in einem solchen darstellen könnte, und er stattdessen den Download-Dialog anbieten muss.

wie gesagt, das klingt gut. wenn ich dem link dann noch folgen könnte und gleichzeitig dem server wieder die auth. per ajax senden? wenn der server keine authentifizierung bekommt, passiert gor nix.