Можно ли, чтобы запросы http и https указывали на один и тот же каталог, например var/www/? Похоже, все будет в порядке, поскольку, когда вы говорите «аутентификация пользователя», вы можете просто вызвать https вместо http. Однако я вижу, как злоумышленник может использовать javascript для изменения URL-адреса https на URL-адрес http. Если лучше разделить их между двумя каталогами, какие-либо рекомендации о том, как это сделать с помощью фреймворка, поскольку вам придется дублировать много кода между каталогами?
Если у вас есть данные, конфиденциальность или целостность которых (во время транспортировки) должна быть защищена, мне кажется, что было бы разумным даже не делать их доступными по незашифрованному протоколу. Если вы полагаетесь на поведение браузера, чтобы предупредить пользователя о том, что он получает контент по незашифрованному каналу, скорее всего, его все равно просто проигнорируют.
Я не могу сказать, как вы справляетесь с этим в своей конкретной структуре, не зная больше. Я бы не хотел дублировать код, но, если бы мне пришлось, я бы, вероятно, сделал символическую ссылку на соответствующие каталоги.
Я полагаю, это будет зависеть от вашей настройки, но большинство конфигураций, которые я видел, указывают на одно и то же место.
Также, му: