У вас должно быть какое-то правило перезаписи, которое перенаправляет пользователя на страницу входа, если у него нет файла cookie для входа. Страница входа в систему затем установит правильный файл cookie и перенаправит пользователя обратно на правильную страницу (если пользователь проходит проверку подлинности). Может быть, что-то вроде этого:
location / {
if ($cookie_login_token = "") {
rewrite .* /login-page break;
}
}
Тогда ваша страница входа должна установить cookie "login_token" с некоторым значением. Хотя эту настройку довольно легко обойти, если пользователь знает, какой cookie вы тоже слушаете (например, наблюдая за входом другого пользователя), поэтому я предлагаю также провести более сильное тестирование на реальном сервере.