AFAIR, заголовок "Authorization: Basic ..." должен обрабатываться
всегда по одинаковым правилам. Если бекенды хотят именно basic auth -
мы можем положиться на то, что в случае отказа в доступе они вернут
401.
Режимов проверки пароля будет два - plain/bdb файл и http. http
означает, что за спиной у nginx стоит апач, которому nginx отправляет
запрос, снабдив его basic auth info. По тому, ответил апач 200 или 401
мы и определяем, правильные ли имя-пароль. А как там апач пароль
проверяет - его дело.