А можно так.
При инициативе пользователя скачать файл создается папка с названием типо хеша, и двумя файлами .htaccess и bublik.zip.
Аксес с текстом
<Files "bublik.zip">
AddType application/x-httpd-php .zip
</Files>

А пхп с миниавторизацией

<?php
if($_COOKIE[login]="Vasya" & $_COOKIE[sess]="cae6dac72fd4aw73f6ede7a1c6e7adaf") // ну или от форума прикрутить
{
разрешено скачивать // ну функция скачивания из хранилища с DENY FROM ALL (outside)
} else {
echo "Пошел вон";
}
?>