Quote

REMOTE_USER bzw. REDIRECT_REMOTE_USER wird sehr wohl gesetzt beim Apache nach Login in geschützte Verzeichnisse.

REMOTE_USER wird gesetzt, wenn im Request-Header Authorization: Basic mit den auf dem Server hinterlegten Credentials übereinstimmt. Authorization: Basic heißt: Die Credentials überträgt der Browser im Request-Header!

Bei einem Login jedoch, erfolgt die Übertragung der Credentials NICHT im Header sondern im Message-Body. Unterschied klar?