Danke für die ganzen Antworten bisher.
Ich benutze in der Tat php und weiß über die UserId, ob ein Benutzer gerade
authorisiert ist oder nicht.
Die pdf-Rechnungen kann ich problemlos in einem öffentlich nicht zugänglichen Ordner speichern. Wie soll ich allerdings das pdf dann konkret "durchreichen" wie du meintest?

Hallo,

Frage: Wie kann ich das realisierien, ohne für jeden User den Dateinamen mit kryptischen Zeichen zu versehen (damit andere User den Dateinamen nicht "erraten" können)?

"security by obscurity" wäre sowieso eine ganz schlechte Idee.

Im Prinzip kann man es so angehen:
* Alle in Frage kommenden Dateien liegen in einem Verzeichnis, auf das kein direkter Zugriff über
   HTTP möglich ist (außerhalb Document Root, oder durch .htaccess gesperrt).
* Du hast sowieso schon ein Login, also ist z.B. die Kundennummer des aktuell anfragenden Besuchers
   bekannt. Ein Script (PHP, Perl oder ähnlich) bietet dem Besucher nun *nur* die Dateien zum
   Download an, die für ihn bestimmt sind (Info im Dateinamen, in einer DB oder einer separaten
   Datei), und reicht sie einfach durch.
Mit welcher Scriptsprache möchtest du es realisieren? PHP dürfte die populärste sein.

So long,
Martin