El problema es como manejas tu la autentificacion, y tambien es "problema" del protocolo HTTP.

Digo "problema" porque no lo es, ya que el protocolo HTTP especifica que el browser envie las variables AUTH_USER y AUTH_PASS (si existen) como parte de las cabeceras, estas variables se "borran" solo hasta que el usuario cierra y abre la pagina.

Para lo que haces es mejor un cuadro de login personalizado donde tu puedas controlar que siempre se soliciten esas variables y que no esten siempre disponibles en las cabeceras.