Disclaimer: Weiß grad nicht ob ich Quatsch schreibe ;).
/admin ist ja quasi nur eine “statische” Seite. Die Admin Aufrufe gehen über /api/. Das wiederum kannst du nicht per htaccess schützen, weil du dort einen Token (JWT) brauchst, der den gleichen HTTP-Header (Authorization) nutzt wie der htaccess Schutz.
Aus welchem Grund möchtest du das machen?