初めて質問させていただきます。

小学校のサイトをxoopsで構築中なのですが、最近は犯罪の未然防止のために児童の顔が映っている写真は外部に出すことができません。
そのため、以下の2点ができないか勉強しています。
・ログインしていないゲストは、外部公開用のmyalbum内の児童の顔が映っていない写真のみ見られる。
・登録ユーザーとしてログインした保護者は、保護者用のmyalbum0内の児童の顔が映っている写真も見られる

私が行った作業は、
myalbumPを二つインストールしました。
myalbumのモジュール・ブロック権限で、ゲストにモジュールアクセス権を与えました。
myalbum0のモジュール・ブロック権限で、ゲストにはモジュールアクセス権を与えませんでした。

確かにゲストアカウントではmyalbum0にアクセスできず、保護者向け写真は見ることができません。

しかし、ブラウザのアドレス欄にmyalbum0の写真が保存されているアドレス：
http://myweb.jp/uploads/photos0/2.jpg
を入力すると、ゲストの状態で、保護者向けの写真が表示されてしまい困っております。

考えておりますのは、
・.htaccessでリファラを見て、http://myweb.jp/modules/myalbum0/以外からのアクセスを禁じる。
・リファラ偽装に対して、画像ファイルの保存先ディレクトリを複雑な名前のフォルダにし、定期的にフォルダの名前を変更する。
などを思いついたのですが、他に方法があるでしょうか。

自分がmyalbumの設定を間違っているのかも知れません。
上手な方法がありましたら教えてください。
よろしくお願いします。

残念ながらmyAlbum-Pはそういう用途には利用できません。
元々の作りが完全公開専用なので、どのような仕掛けもほとんど意味がありません。

唯一意味があるのは、
- フォルダ名を定期的に変更する
ことくらいでしょうか。

お答えありがとうございます。
basic認証でもいいかな？と考え始めました。

GIJOEさん、MyAlbumPはじめ、piCalやprotectorなど有用なツールを公開してくださりありがとうございます。
用途にあったツールを選ぶ目を養っていこうと思います。