Je sais pas, je regarderai ça, mais ça peut se passer avant avec un POST qui renvoie un session_id dans un cookie et puis à la deuxième connexion, l'envoi de fichier, on le remet, ou ça peut se passer en une fois. Les champs peuvent s'appeler login et password ou user et pwd, ça peut encore utiliser HTTP Basic. Enfin bon, la question servait à rien puisqu'il suffit de regarder ce qui se passe et de faire pareil.
Ou alors, y a qu'une façon habituelle ou même standard de faire ce genre de trucs là mais je suis pas au courant.