Consegui chamar com sucesso uma URL atrás de um diretório no Apache protegido com autenticação básica (htpasswd, etc.). A solicitação Ajax GET funciona normalmente e retorna o conteúdo protegido:

var encoded = Base64.encode(username + ':' + password);
$.ajax({
    url: "/app/test",
    type: "GET",
    beforeSend: function(xhr) {
        xhr.setRequestHeader('Authorization', 'Basic ' + encoded);
    },
    success: function() {
        window.location.href = '/app/test.html';
    }
});

Minha suposição original era que, uma vez que a sessão da Web autorizasse uma solicitação com sucesso, seria possível o redirecionamento no bloco 'success' sem solicitar credenciais do usuário. Quando esse bloco de código é chamado, o usuário digitou o nome de usuário e a senha, em um ambiente não protegido. No entanto, quando o redirecionamento é chamado, o navegador exibe a janela de login / senha.

Alguma sugestão de como eu poderia pré-autorizar uma sessão com a Autorização Básica que seria fornecida pelos usuários?