Лично я использую php-файл для передачи объекта JavaScript, состоящего из некоторых базовых сеансов и внутренних настроек, ничего критически важного, поскольку передача информации клиенту не слишком безопасна, но я считаю, что он может следовать тем же принципам, что Вы ищете.
Точно так же я использую это для отображения определенных элементов после входа клиента, хотя вся авторизация по-прежнему выполняется на стороне сервера. Если мой обработчик сеанса дает файлу PHP все в порядке, он выводит объект JavaScript с использованием строки heredoc PHP, в противном случае он ничего не выводит. Вы можете использовать атрибуты этого объекта для сравнения или вывести только JavaScript для отображения определенной страницы на основе настроек в вашем php-файле.
HTML:
<script src="common/javascript/php_feeder.php" type="text/javascript"></script>
PHP:
//my session handler authorisation check has been removed
//although you could place your own up here.
//assuming session was authorised
//set content type header
header("content-type: application/x-javascript");
$js_object = <<<EOT
var my_object = {
my_attr: '{$my_attr}',
my_attr2: '{$my_arrt2}',
etc: '{$etc}'
}
EOT;
print($js_object);