Хотя, надо ещё и конкретный url с "секретом" оговаривать
server.on('request', function(req, res) {
var urlParse = url.parse(req.url, true);
if(urlParse.pathname == '/index.html' && !checkAccess(req)) {
res.statusCode = 403;
res.end("Tell me the secret to access!");
};
if(urlParse.pathname == '/index.html' && checkAccess(req)) {
req.url = urlParse.pathname;
file.serve(req, res);
};
file.serve(req, res);
});