creo que la mejor opcion seria hacer lo de "devolver a un usuario a la pagina principal si no tiene su sesion (en php) abierta" en PHP ya que seria mucho mas confiable que javascript y mucho mas dificil de saltear por parte de los usuarios malisiosos.
El uso de cookies y sesiones son lo que se usa generalmente para esto.... un ejemplo sencillo seria que cuando un usuario ingresa con su usuario y password se cree una variable de sesion con X nombre y despues en las paginas restringidas preguntas al comienzo si existe esa variable de sesion X, de ser asi muestras la pagina y sino lo rediriges a la pagina principal mediante: header("location: index.php")