Ich würde zunächst einmal von http-auth Abstand nehmen, weil die Passwort-Hash-Methoden der oder des Webservers nicht unbedingt Weltspitze sind.
Wo ist das Problem im Falle gesendeter Daten nach einer Session mit einem gültigen Login zu schauen und diese ggf. durch eine Passwortabfrage zu initialisieren? Man kann auch danach noch zum vorherigen Schritt zurück gehen und dort weitermachen, wo das fehlende Login aufgefallen ist.
Wie machen das Symfony & Co?
Hoffentlich richtig. Fragt sich, wer es dann wie implementiert.