Pues como tu método las envia por post las recuperas con post
Código PHP:
$pass = $_POST['password'];
$user = $_POST['username'];
Luego las utilizas en la función
autenticacion($user, $pass);
No hace falta usar php_self, sino declaras un action siempre direcciona a la misma página.
Las variables:
puedes meterlas dentro de input hidden de manera que no estén visibles y tambien las capturas por post