Frage: Das Verzeichnis ...... hat einen Passwortschutz. Davon sollen jedoch 2 Verzeichnisse ausgeschlossen werden (/api  und   /media/image)

Im jeweiligen Unterverzeichnis, was nicht vom Passwortschutz betroffen sein soll, eine .htaccess anlegen mit:
Order Deny,Allow
Allow From All
Satisfy Any

Frage: Das Verzeichnis /api wird aber erst während der
Laufzeit erzeugt, ich kann dort also keine .htaccess erstellen.

Dann können Sie den folgenden Code für eine .htaccess Datei verwenden:

AuthType Basic
AuthGroupFile /dev/null
AuthName 'bitte Zugangsdaten eingeben'
AuthUserFile /www/htdocs/w0xxxxxxx/.htpasswd
# Allow access to excluded diretories
SetEnvIf Request_URI /api/ noauth=1
SetEnvIf Request_URI /media/image/ noauth=1

Require env noauth
Require env REDIRECT_noauth
Require valid-user

Sie könnten Mediendatei aber auch mit dem folgenden Code erlauben:

SetEnvIf Request_URI /*.js noauth=1
SetEnvIf Request_URI /*.ico noauth=1
SetEnvIf Request_URI /*.png noauth=1
SetEnvIf Request_URI /*.jpg noauth=1
SetEnvIf Request_URI /*.ttf noauth=1
SetEnvIf Request_URI /*.woff noauth=1
SetEnvIf Request_URI /*.gif noauth=1