Максим, благодарю за ответ.

Авторизационный сервис мне доступен.
Сейчас у меня сервер авторизации выглядит как apache+mod_php.
И на нем только один скрипт (для тестов):
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
} else {
header('HTTP/1.0 200 Ok');
}
?>
с п.1 я понял, что это будет проверять сервер авторизации (в некой базе ставить пометку о том, что пользователь залогинился), но как снимать пометку, когда пользователь закрыл браузер? каким механизмом nginx узнает об этом?
а как авторизованного пользователя сбросить если он не закрыл браузер?
ведь /auth уже вернул код 200. и дальше работа идет с backend. Или /auth возвращает 200 при каждом запросе к nginx от данного пользователя (просто после 1 ввода ответ гдето кешируется на сервере авторизации)?
Если можно, расскажите подробне про возможный механизм взаимодействия сервера авторизации с nginx в моей задаче.