Siendo un poco "generalista", lo que sucede es que la autenticación HTTP se basa en carpetas, es decir, el usuario obtiene un permiso que solo vale para los archivos de la carpeta protegida.

Para cualquier petición dirigida a un archivo dentro de esa carpeta, el navegador envía la cabecera Authentication.

Y con respecto a cómo guarda la información, la respuesta más común creo que sería "en memoria", dado que una vez que se cierra la ventana el navegador pierde la información. De hecho esta es la única manera segura y definitiva de "cerrar la sesión" cuando se usa este método: cerrando la ventana del navegador.


Saludos.