Also per direkt Link richtig?
Ja. Setze dem Besucher wonach auch immer(*) ein Cookie und leite ihn zum Download weiter. Hat er beim Abruf der Ressource das Cookie nicht, so schick ihn in die Wüste.
(*) oder überlege an einer generellen Authentifizierung mit htaccess. Leider wird beides auch die Benutzung von Downloadmanagern unmöglich machen oder den fortgesetzten (-> wget -c) erschweren.
fred