我在apache服务器上,我想隐藏未登录的人的资产。我的登录逻辑/ cookie是在php中,所以如果登录cookie不存在,很容易重定向。但是如何限制css / js / images等其他资产的访问?例如,在我的网站上,example.com / users / foo.php位于登录墙后面。但是foo.php也会加载example.com/js/user/foo.js。现在知道文件位置的任何人都可以看到js文件的内容。但我想限制它,以便必须要求用户登录才能加载js / css文件。主要是js,因为它可能有敏感数据或暴露一些内部api调用等。
答案 0 :(得分:4)
如果登录cookie不存在,则很容易重定向
这不是一个有效的解决方案。
虽然我会质疑这样做是否有任何好处,但最简单的解决方案是:
使用mod_rewrite通过PHP脚本路由所有静态内容请求,该脚本可以验证会话是否经过身份验证(这将非常慢,需要在控制器中重新实现缓存)
使用mod_auth_memcookie来控制对网络服务器层文件的访问。