Referrer überprüfen und gegebenenfalls bei falschen Referrer auf
die Startseite umleiten ist sehr schnell realisiert. Und wenn
jemand meint, er müßte immer einen falschen Referrer ausliefern,
dann hat er eben ein Problem. Die paar Leute, die den Referrer
unterdrücken, die haben eben Glück und können Deep-Links weiter-
hin nutzen.
Ansonsten dann eben Sachen wie Cookies oder Session-IDs usw.

Ist doch trivial:
Der Betreiber macht auf jeder Seite, die auf einen "geschützten" Link verweisen soll (pidgin code):

timestamp = Now() + 60 seconds;
ts_crypt = Encrypt(timestamp,secretkey);
<a href = "sichereseite.php?ts_crypt=$ts_crypt">...

Die Zielseite macht:

timestamp = Decrypt(ts_crypt,secretkey);
if (timstamp > Now()) redirect_to_homepage();

Simple as that.