OK, encontrei o problema - testei isso no Chrome e no Firefox digitando foo:[email protected]/authtest
na barra de URL.
Acontece que, recentemente, esses navegadores começaram a remover as credenciais silenciosamente, a menos que haja uma autenticação básica na página. Como eu só quero passar a credencial para o Django, não há autenticação básica na página, então eles foram removidos.
Teste com link e defina o cabeçalho explicitamente, e as credenciais são transmitidas corretamente.