So, nach meinem Serverumzug bei All-Inkl funktionierte obiges Exclude der API nicht mehr.
Nach längerem Basteln und Googlen habe ich nun folgende Lösung (.htacess im übergeordneten Pfad, also z.B. dem Ordner vor public)
(bei mir in etwa so: devtests/SW6EA/public habe ich es direkt in devtest liegen, so kann ich mit einer Datei mehere Testdomains schützen)
AuthType Basic
AuthName 'Authentication required'
AuthUserFile /www/htdocs/meinpfad/.htpasswd
# Allow access to excluded diretories
SetEnvIf Request_URI /api noauth=1
Require env noauth
Require env REDIRECT_noauth
Require valid-user
Frontend und /admin fragen noch nach dem Passwort, die API läuft danach aber durch.