初めて質問させていただきます。
小学校のサイトをxoopsで構築中なのですが、最近は犯罪の未然防止のために児童の顔が映っている写真は外部に出すことができません。
そのため、以下の2点ができないか勉強しています。
・ログインしていないゲストは、外部公開用のmyalbum内の児童の顔が映っていない写真のみ見られる。
・登録ユーザーとしてログインした保護者は、保護者用のmyalbum0内の児童の顔が映っている写真も見られる
私が行った作業は、
myalbumPを二つインストールしました。
myalbumのモジュール・ブロック権限で、ゲストにモジュールアクセス権を与えました。
myalbum0のモジュール・ブロック権限で、ゲストにはモジュールアクセス権を与えませんでした。
確かにゲストアカウントではmyalbum0にアクセスできず、保護者向け写真は見ることができません。
しかし、ブラウザのアドレス欄にmyalbum0の写真が保存されているアドレス:
http://myweb.jp/uploads/photos0/2.jpgを入力すると、ゲストの状態で、保護者向けの写真が表示されてしまい困っております。
考えておりますのは、
・.htaccessでリファラを見て、http://myweb.jp/modules/myalbum0/以外からのアクセスを禁じる。
・リファラ偽装に対して、画像ファイルの保存先ディレクトリを複雑な名前のフォルダにし、定期的にフォルダの名前を変更する。
などを思いついたのですが、他に方法があるでしょうか。
自分がmyalbumの設定を間違っているのかも知れません。
上手な方法がありましたら教えてください。
よろしくお願いします。