[PHP-APACHE] : autorizzazione file

[Whitecrowsrain]

Salve,
ho un piccolo problema che vorrei risolvere.
Ho un sito dove metto a disposizione dei file soltanto alle persone autorizzate.
Tali persone hanno una username e password e controllo il loro login tramite un script PHP collegato ad un database mySQL.
Ora se un utente si logga gli faccio visualizzare la lista dei file che può scaricare, altrimenti no. Il problema nasce dal fatto che se l'utente si segna l'indirizzo di questi file, può scaricarli anche se non si logga.
Allora ho pensato di blindare la cartella con un file .htaccces, ma se metto la direttiva

codice:

deny from all

non può accedere ne l'utente esterno ne l'utente loggato.
La mia domanda è semplice, come faccio a bloccare la cartella o i file solo a chi non si è loggato tramite lo script in PHP (ovviamente uso le variabili di sessione per capire se un utente è loggato oppure no) ? Cioè esiste un modo di far un controllo tramite .htaccess o devo battere altri sentieri?

P.S: tempo fa lo stesso problema l'ho risolto mandando il file sull'header, ma in questo caso è una soluzione scomoda in quanto si parla di PDF e vorrei far aprire dei popup!

[Santino83_02]

proteggi i file con .htaccess e li fai scaricare col php (download forzato)


mi pare che si possa impostare l'accesso su apache anche con username e password, però non lo so come si configura apache in tal senso (l'ho visto ad esempio per accedere ad un repository di subversion), magari se chiedi nella sezione relativa ai webserver o cerchi su google risolvi

[Whitecrowsrain]

Originariamente inviato da Santino83_02
proteggi i file con .htaccess e li fai scaricare col php (download forzato)


mi pare che si possa impostare l'accesso su apache anche con username e password, però non lo so come si configura apache in tal senso (l'ho visto ad esempio per accedere ad un repository di subversion), magari se chiedi nella sezione relativa ai webserver o cerchi su google risolvi

so come si fa ad imposare username e password sul file .htaccess.. ma ci sono due problemi:
1) Quando vede il link l'utente è già loggato (tramite le variabili di sessione) ma non via htaccess!
2) user e password vanno impostati su di un file, che però non c'entra nulla con i dati di accesso che l'utente ha sul database!

Quello che vorrei sapere è se è possibile che l'utente loggato tramite una sessione, possa esser riconosciuto via htaccess o se esiste qualche tecnica per superare questo ostacolo.