Hi,

<Limit GET>
require user xyz
</Limit>
Deshalb habe ich im .htaccess <Limit> nur GET-Zugriffe
geschützt und nicht Post.

ich bezweifele, daß Du das getan hast (dann würde es nämlich so funktionieren, wie Du es erwartest).

Leider fehlen wesentliche Teile Deiner Konfiguration.
Ich sehe, daß die _Art_ des Schutzes von der HTTP-Methode _abhängt_ - daß jedoch für andere Methoden _kein_ Schutz existieren soll, das sehe ich nicht.

Viele Grüße
      Michael