Hallo,

1. Soll ich eine PDF-Seiten ID generieren, auf die man per Zufallseingabe nicht kommen kann?

Nein, das ist "Security by Obscurity" und geht irgendwann in die Hose.

2. Oder ist die Möglichkeit des htaccess Schutzes besser, indem ich jedem Benutzer ein eigenes Verzeichnes spendiere, das dann individuell geschützt ist

Das ist die einfachste und vermutlich auch sicherste Variante.

oder gibt es eine andere, bessere Möglichkeit?

Eine bessere nicht, aber Du könntest die Original-PDF-Seite in einen nicht per HTTP zugänglichen Bereich (deny from all oder außerhalb des DocumentRoot) packen,
und eine PHP-Seite basteln, die den User prüft und bei erfolgreicher Prüfung die PDF-Seite (natürlich mit passendem Content-Type-Header) ausgibt.

Schönen Gruß,

Rainer