apacheでmod_rewrite+Basic認証時に特定パスのみ認証を解除する - 凡人プログラマに関して、
http://wp.serpere.info/archives/1883
で問題点が指摘されていますので、注意喚起で書いておきます。
tkykさんありがとうございます。

Cakeは最終的に $_GET['url'] しか見ていないので、一つでも認証無しでアクセス可能なコントローラ/アクションが存在すれば、
/controller/action?url=/protected
というパラメータを使うことで任意のURL（上では /protected）に対して認証無しでアクセスできてしまいます。

とあるようにcake phpで使用するにあたっては明確にセキュリティホールとなるので、ご注意ください。

ですが、「apacheでmod_rewrite+Basic認証時に特定パスのみ認証を解除する」というタイトル通りのことはできるので訂正まではしません。あくまでcake phpのような機能がある場合に問題になるので。

cake phpで使用されている方は注意してください!