lo mejor es sacar esos archivos
fuera del document root, y utilizar un
controlador frontal en php que con
readfile dumpee el contenido a la salida comprobando antes que el usuario esté autenticado, incuso combinándolo con
url amigables se puede lograr
la misma url pero que siempre se dumpee el archivo a través del controlador frontal.