Касательно авторизации - это есть в HTTP/1.1 (а может и раньше) и Apache это поддерживает (всё это описано в его документации). Касательно перехода в свой каталог не могу сказать. Я такое делал как раз с помощью CGI, правда вся обработка файлов делалась именно им (CGI), т.е. и выдача списка, и взять/удалить/закачать. Передать же логин/пароль (как и что угодно ещё) CGI можно через cookie или через поля формы (GET/POST). Конечно второй вариант, причём с GET не очень красивый, применительно к паролю, т.к. параметры будут светиться в сторке адреса.