Entendo ... O código abaixo desabilitará a autenticação apenas no diretório de callbacks, talvez você possa modificar essa lógica para que ela apenas ative a autenticação no diretório desejado, ou desative a autenticação em todos os dirs cujo nome não corresponda ao auth um que você deseja proteger.
# set an environment variable "noauth" if the request starts with "/callbacks/"
SetEnvIf Request_URI ^/callbacks/ noauth=1
# the auth block
AuthName "Please login."
AuthGroupFile /dev/null
AuthType Basic
AuthUserFile /xxx/.htpasswd
#Here is where we allow/deny
Order Deny,Allow
Satisfy any
Deny from all
Require valid-user
Allow from env=noauth