Ho una cartella web con alcuni file PHP che sono ospitati nel mio sito web (es. www.mysite.com/myfiles/my_file.php) che accedo e scambio informazioni usando ajax per una Web App che ho.
La mia domanda è: come posso proteggerli contro l'accesso diretto e altre invasioni e consentire solo a me di accedervi tramite il mio javascript / PHP (della Web App)?
Non voglio che l'utente debba digitare un qualche tipo di password. Questa autorizzazione deve essere silenziosa.
Se i file segreti e l'applicazione PHP si trovano sul server SAME:
Inseriscili al di fuori della "web home".
Ad esempio, normalmente hai una directory come: %codice% che mappa a: link
Quello che poi, fai, è mettere questi file sopra la cartella public_html, come:
/public_html/cgi-bin/file.php
Il file /somesecretdb.db può quindi accedere a somesecretdb.db aprendo solo /public_html/cgi-bin/file.php
Ma il file non sarà accessibile dal "fuori".
Se i file segreti e l'applicazione PHP si trovano su server DIVERSI:
Quindi puoi utilizzare l'autenticazione IP, dove crei una regola di accesso o firewall, che consente solo l'accesso al file dal server che ospita la tua app.
Se il file server deve essere utilizzato solo dal server delle applicazioni PHP, è possibile configurare il firewall sul file server, per passare solo le richieste dal server delle applicazioni PHP alla porta 80.
Se il file server è destinato all'uso pubblico (ad esempio alcuni file devono essere direttamente accessibili per gli utenti) e all'utilizzo privato, puoi invece configurare il server web, usando .htaccess o il file di configurazione, per dire di non consentire richieste per file privati a meno che l'IP di origine sia uguale al server di applicazioni PHP.
In base alla mia comprensione della tua query, vuoi bloccare la richiesta http diretta per le tue pagine e consentire l'accesso solo se tramite altre pagine php su potrebbe essere in local o remote location
Questo può essere fatto tramite sessioni e cookie, i cookie devono essere modificati in base alla risposta inviando nuovi cookie nell'intestazione della risposta di ogni richiesta
Ad esempio, imposta un cookie (AL = md5 (consentito + richiesta-tempo)) nelle pagine attraverso le quali desideri che la pagina di destinazione sia accessibile e mappali anche nei dati di sessione, quindi controlla la pagina protetta per la corretta valore di AL Cookie in richiesta con sessionvariable sul server, se le corrispondenze consentono l'accesso e rimuovi cookie quando server le pagine protette da destinazione
Leggi altre domande sui tag authentication web-application file-access