Para no dar rutas directas de las imágenes, puedes pasarlas con PHP cambiando el content type.
De esta manera, puedes hacer antes la comprobación de si el usuario tiene privilegios sobre la imagen que quiere ver y de ser así, la muestras.
Sería algo así:
Código PHP:
Ver original<?php
header('Content-Type: image/png');
$privilegios = true;
if ($privilegios) {
}
?>