definiere zukünftig - für den rest der sitzung, oder bis zum
jüngsten gerücht?

Für den Rest der Sitzung hätte völlig gereicht ;-)

ersteres: per session beispielsweise, ja.
dann musst du den "schutz" vor unbefugten zugriffen allerdings
selber implementieren; bspw. in dem du die dateien über http gar
nicht erreichbar machst, und per PHP-script "durchschleust".

Was ja dann nichts mehr mit dem .htaccess Ansatz zu tun hätte.
Der (vermutlich naive) Ansatz dem Browser die "Berechtigung"
z.B. per Header zu übermitteln, ist also nicht möglich?

Gruß
Sebastian