php - 如何防止直接访问需要身份验证的站点上的资产？

Question

该公司的网站是用 PHP 编写的，但在 IIS7 上运行。

情况：未经身份验证的用户关注书签或手动输入页面的 url。如果用户尚未登录，则应将其重定向到登录。

当前状态这有效，但仅适用于 PHP 页面。每个页面都包含检查活动会话的代码，如果未找到，则将用户重定向到登录页面。

需要解决的问题： 如果用户关注书签或手动输入非页面资产的 url（页面中的图标、excel 文档、图像、pdf 等），我们希望用户被重定向到登录。

当用户直接访问非 PHP 资产时，我们如何检查活动会话？

换句话说，我们如何检查这样的 url 的活动会话：

https://www.mysecuresite.com/img/secretpicture.jpg？

Answer 1

不确定 IIS，可以帮助 Apache，但是呃.. 我知道一些社交网络通过 PHP 链接他们的静态资产。

所以图片链接不是直接的，而是：/getImage.php?id=secretimage

在那里你可以先检查会话......但是，是的，在你的情况下需要一些重构。