認証されていないリクエストが拒否された後、HTTPクライアントが認証ヘッダーを送信するのはなぜですか？

HttpClientおよびHttpWebRequest .NETクラスのデフォルトの使用法は、Credentialsプロパティを設定し、クラスインスタンスにHTTPリクエストを実行するように要求することです。ターゲットがBasic承認を必要とする場合、次のことが起こります（これらのクラスは内部でこれを行い、Fiddlerは何が起こっているかを示します）。

• 最初のリクエストはAuthorizationヘッダーなしで送信されます
• サーバーが拒否し、HTTP 401で応答する
• クライアントは、今回はまったく同じ要求を、Credentialsプロパティから適切にエンコードされたデータを含むAuthorizationヘッダーで再送信します

これがデフォルトの動作です。したがって、ユーザーがアプリケーションを検証して追加の手順を実行しない限り、すべてのリクエストは2回送信されます-最初のリクエストは一般的に拒否されます。

私の質問は-そのようなデフォルトの動作の理由は何ですか？クライアントクラスにはCredentialsプロパティが設定されているため、ユーザーがこれらの資格情報を認証に使用することを想定しています。最初のリクエストで適切なヘッダーを送信しないのはなぜですか？後者を実行すると、どういうわけかクライアントが危険にさらされますか？