Авторизация файлов на веб-хостинге

Используйте какой-нибудь прокси-скрипт PHP, который будет обслуживать файл для пользователя, не указывая реальное местоположение источника.

Затем пользователь увидит http://yourdomain.com/download.php?file=mydoc.docx

Настоящий путь по-прежнему /documents/userid/2342/mydoc.docx или как там выглядит ваша структура.

Затем позвольте вашему файлу download.php обслуживать файл следующим образом:

<?php
// Validate the user here

// Set document root
$root = 'documents/userid/'.$userID.'/';

// Requested file
$file = $_GET['file'];

// Validate
if (file_exists($root . $file))
{
    header("Pragma: public");
    header("Expires: 0");
    header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
    header("Cache-Control: private", false);
    header("Content-Type: application/force-download");
    header("Content-Disposition: attachment; filename=\"".basename($file)."\";");
    header("Content-Transfer-Encoding: binary");
    header("Content-Length: ".filesize($root . $file));

    ob_clean();
    flush();
    readfile($root . $file);
}
else { echo "File not found"; }
?>

Подробнее здесь