Das sagte ich doch bereits mehrfach. Z.B. über den Browser: Aufruf von diedomain.de/api/version
Aber eine weitere Analyse ist nun nicht mehr notwendig: Der „Quatsch mit SW4“ hat mich zur Lösung gebracht. In der .htaccess aus dem root-Verzeichnis fehlte dieser Eintrag:
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
Habe ihn hinzugefügt, nun läuft’s.
Trotzdem Danke an alle, die sich an diesem Thread beteiligt haben!