Как можно запретить доступ к ресурсам без аутентификации?

Robur, насчёт sendfile сделал такой вывод, поскольку при запросах на 127.0.0.1:2300/login есть ответ в виде страницы main.html, двух разных index.html + различные js и css файлы, или, в случае неудачной попытки входа, возвращается снова auth.html, с которой посылался запрос.
А при переходе на html-страницу из адресной строки, выполняется get-запрос с адресом 127.0.0.1:2300/main.html, который просто возвращает эту страницу безо всякой промежуточной логики.
Сегодня ещё нашёл сообщение от того человека, который писал приложение, что можно проверять вошёл ли пользователь на сайт через клиентскую часть с помощью angular, но разве это надёжно?

Как можно запретить доступ к ресурсам без аутентификации?

Если честно, я не очень понимаю, что нужно делать.
Вообще при вводе любой страницы вида 127.0.0.1/auth, 127.0.0.1/register и прочих, или при обращении к несуществующему html файлу - 127.0.0.1/none.html - срабатывает вот такой роут:
app.get("/*", helpers.common.generateMainPage);
который перенаправляет нас на функцию такую:

generateMainPage : function(req, res) {
        if (req.isAuthenticated()) {
            console.log('вход выполнен');
            res.sendfile('./public/main.html');
        }
        else {
            console.log('вход не выполнен');
            res.sendfile('./public/auth.html');
        }
    }

И всё бы хорошо, но в случае перехода с помощью адресной строки к main.html, в консоль выводится сообщение о том, что вход выполнен не был, но sendfile не срабатывает. Во всех остальных случаях происходит перенаправление на auth.html как надо.

К слову, main.html - страница, собирающаяся из трёх отдельных кусков html-разметки.
Тот, кто делал этот проект, говорит, что дело может быть в настройках сервера, в котором прописано просто возвращать html страницу. Но где это смотреть и как править, я не знаю.
Как вариант, мне предлагали написать что-то в app контроллере, но и там я не знаю примерно что нужно описывать.