URL не важны. Их очень легко найти из любого веб-приложения, и, тем не менее, оно все еще необходимо, чтобы иметь к ним публичный доступ. Есть несколько вещей, которые нужно сделать, во-первых, если вы заинтересованы в самой безопасности данных, вы, вероятно, захотите, чтобы ваш сервер работал по протоколу https вместо http. Однако, если безопасность данных не имеет решающего значения (и часто это не так), вам просто нужно иметь быструю и грязную систему аутентификации.
Я уверен, что вы можете найти много статей в Интернете или даже фреймворки, созданные для аутентификации для php. В прошлом, когда мне требовалась очень простая аутентификация, мой клиент отправлял имя пользователя и пароль SHA1 в открытую функцию аутентификации на php, которая затем создавала, сохраняла и возвращала идентификатор сеанса. Этот идентификатор сеанса будет тогда параметром first всех остальных функций php. Эти функции будут проверять DB, чтобы увидеть, существует ли ID сеанса или все еще действителен (15-минутная отметка времени с момента последнего использования), и если это так, продолжайте работу с функцией.
Это очень упрощенный способ работы, который подойдет многим небольшим веб-сайтам. Если вам нужна дополнительная безопасность, отправьте все это через https, чтобы снифферы не могли получить идентификатор сеанса, передаваемый по проводам. После этого вы переходите к корпоративной безопасности, которая, вероятно, излишня для того, что вы хотите сделать, и обойдется вам в руку, ногу и левое яичко: P