Bei einem Framework sollte es möglich sein, eine Authorization Basic an beliebiger Stelle einbauen (konfigurieren) zu können. Also bspw. so, daß eine Passwortabfrage bei jedem Request auf eine URL, egal welche Parameter im Spiel sind und auch egal mit welcher Requestmethode, erscheint.
Die Anforderung, daß die Passwortabfrage nur bei bestimmten Parametern im Request erscheinen soll ist natürlich ein Sonderfall.
MFG