HTTP文件访问和PHP会话

因为当用户请求非PHP文件时不会调用PHP,所以不能让Apache强制使用PHP的访问保护。您可以在Apache中进行非常粗糙和容易伪造的签入,以确保存在会话ID cookie,但这是高度不安全的。它只是检查cookie是否存在,而不是它是否代表一个有效的会话,或者用户是否被授予了访问权限。

另一个答案可能会有所帮助。 Using PHP/Apache to restrict access to static files (html, css, img, etc) . 基本上,您通过一个PHP脚本提供所有受保护的内容,而不是提供直接访问。

几个答案:

1)让您的PHP会话使用HTTP身份验证。然后可以使用.htaccess文件控制目录中的文件访问

2)使用mod eu rewrite将所有请求重定向到“前控制器”。让前控制器管理是否允许、拒绝或转发到其他控制器模块进行进一步处理。

您可以尝试使用PHP进行HTTP身份验证。这个 article 可能会有所帮助。