Hi,

HTTP ist nicht dazu ausgelegt Berechtigungen zu verwalten. Sicherlich kannst Du über .htaccess Dateien einiges Regeln. Aber das würde dann so aussehen:

Struktur:
/documents/pdf/global <= Hier alle öffentlichen Dokumente
/documents/pdf/secure <= Hier alle geschützten Dokumente

Problem hierbei ist:
Du kannst den Zugriff immer nur für das ganze Verzeichnis gewähren / verweigern. Daher auch die Aufteilung in 2 Verzeichnisse.

Ich halte das nicht für wirklich sinnvoll.
Andere Idee:

Erstell Dir ein User-Verwaltungssystem mit Loginbereich für die User. Dann hast Du die Authentifizierung der User in der DB.

Nun kannst Du Dir für alle Dokumente ein Berechtigungssystem wie im System aufbauen (User, Gruppenabhängig).

Die Dokumente legst Du alle _oberhalb_ des DocumentRoots ab, so dass das Verzeichnis nicht über eine URL "erreichbar" ist, oder Du schützt es vor ALLEN Zugriffen via .htaccess (Vielleicht mit Ausnahme von einem Account für Dich ;o)). Die Liste mit den PDF-Downloads verlinkst Du dann auf eine Datei "pdf_download.php?fileid=xy". Diese geht dann über das Filesystem und liest die PDF-Datei ein und gibt sie mittels entsprechenden HEADER aus.

Das ist denke ich dann Bombenfest ;o)
Also ohne Auth in Deiner erstellten Userverwaltung kommt dann keiner an ein Dokument ran, sei denn Du erlaubst es (Standarduser / -gruppe)

Gruss
Stefan