• Webブラウザを起動すると、IDとパスワードの入力を求められる。
• IDとパスワードの両方が入力された場合に限り、Webブラウザは HTTPリクエストヘッダに : (id=ユーザーID, hash=IDとパスワードをコロンで接続した文字列のハッシュ) を送る。
• Webブラウザは、上記IDまたはパスワードが入力されなかった場合は
• Webサーバは上記ヘッダのIDとハッシュ値を元に（該当ヘッダの有無を含めて）アクセス制限を行う。
• Webブラウザは、プロセス終了時まで認証情報 (IDとパスワード) をメモリに保持するが、終了時に破棄する。

アクセス制限の方法は、サーバ側で管理するユーザーリストと照らし合わせるでもいいし、ログなどを元にアクセス日数がn日以上とかを割り出して適用でもいいと思うが、いずれにしても、サーバ側の責任。