Facepalm !
As minhas condições de reescrita do funcionam como esperado, o problema estava no meu ficheiro /protected/.htaccess
:
For basic authentication, the server writes a "401 Unauthorized" header and then looks for an error document based on a pre-defined path. Most of the time, the error document won't exist in the directory that you want to protect, so the request gets handled by the rewrite engine which throws a 404 error.
A solução foi adicionar o seguinte aos arquivos /protected/.htaccess
:
ErrorDocument 401 "Unauthorized Access"
RewriteEngine off
... Authorisation lines
De Conflito entre a reconfiguração de URL do Apache e Autenticação Básica .