Die Kunden kann man per ID son ziemlich genau bestimmen. Man könnte die pdf Datein in einen Ordner packen der diese ID hat und dann diese beim login abrufen. .htacces um diese von außen zu schützen würde ich auch empfehlen.

".htaccess" (gemeint ist sicher mod_auth_*) ist kein zuverlässiger Schutz und ganz sicher nicht empfehlenswert - sollte aus irgendwelchen Umständen dieser Schutz versagen, liegen die Dokumente offen im Netz.

Aus diesem Grund ist es _empfehlenswert_ die Dokumente außerhalb des DocumentRoot zu platzieren.

Dokumente in einem durch mod_auth_* geschützen Verzeichnis abzulegen ist höchstens die Ausweichlösung falls man keine bessere Möglichkeit hat.