En realidad es muy simple.
A través de la cabecera 'WWW-Authenticate: Basic realm="Texto"' le indicás al navegador el tipo de autenticación que debe usar (en este caso Basic), el navegador (si acepta este método) muestra una caja de dialogo donde ingresar usuario y contraseña.
El navegador concatena con ":" los datos ingresados (usuario:contraseña) y los codifica en base64 (dXN1YXJpbzpjb250cmFzZcOxYQ==), para repetir la petición al servidor agregando la cabecera 'Authorization: Basic dXN1YXJpbzpjb250cmFzZcOxYQ=='.

En php recuperás estos valores con las variables $_SERVER["PHP_AUTH_USER"] y $_SERVER["PHP_AUTH_PW"] para validarlos.

De todas formas este tipo de autenticación no me parece muy seguro.