Seguindo o código de tratamento de solicitação do Apache, isso não parece ser o caso. Se eu estou lendo certo, a autenticação / autorização é feita uma vez para o pedido principal.
O módulo mod_autoindex funcionará na cadeia de saída para gerar o conteúdo, uma vez que tenha sido autorizado para isso. O único código semelhante à autorização em mod_autoindex.c é verificar se é permitido gerar o índice ou não.
Se você criou o código com os símbolos de depuração e tudo mais, poste suas descobertas.