Cita: yo pensaba que se hacia en cada recurso en concreto
Puede hacerse así también, pero por carpetas es como se usa normalmente.
Cita: ¿entonces como se implementaria?
Se puede hacer con PHP, pero la forma más común es hacerlo con el archivo .htaccess en un servidor apache.
Cita: Yo pensaba que se hacia directamente cuando desarrollabas la página web, que tu mirabas si te enviaba la cabecera autorization y si no era asi enviabas la respuesta 401 pidiendola y que apartir de ahi siempre se enviaba.
Es una forma de hacerlo, parecido a cómo funciona haciéndolo enteramente con PHP.
Cita: ¿entonces se deja del lado del servidor?
No, para nada. Es el servidor el que recibe las cabeceras, después de todo. Y es el servidor el que hace todo el trabajo si usás el método del .htaccess
Cita: ¿como sabe el navegador que recursos están bajo esa carpeta para saber que tiene que enviarle la cabecera autorization?
Simple, si en tu .htaccess especificás que la carpeta /cosas está protegida, el navegador enviará la cabecera con los datos en cualquier petición a cualquier archivo dentro de /cosas (por ejemplo, /cosas/imagen.gif)
Te dejo unos enlaces para que puedas empezar a entender mejor el tema:
http://www.php.net/manual/es/features.http-auth.php http://www.google.com/search?client=...utf-8&oe=utf-8
Saludos