Bueno, yo encontre esta forma de hacer login en una pagina web. Se inserta esto codigo en la pagina de dowload.php:

<code><?
session_start();

// is the one accessing this page logged in or not?
if (!isset($_SESSION['session_hash'])
|| $_SESSION['session_hash'] !== true) {

// not logged in, move to login page
header('Location: user.php');
exit;
}
?></code>

Si no esta logueado me envia a formulario de login que es user.php. Otra pregunta es ¿que codigo agregarle para que cuando nos envia a la pagina de user.php que al loguearse sigue descargando la misma pagina que hizo click(en este caso download.php?