Hello,
Du musst ja nicht das ganze File kopieren für den Kunden, sondern nur ein Verzeichnis für ihn anlegen, in dem eine .htaccess-Datei liegt.
In dieser steht die serverinterne Umleitung auf das File
Das Verzeichnis kannst Du so auch per htaccess-Passwort schützen, wenn Du willst
Zwar muss das File dann auch per HTTP zugänglich sein, die URL wird aber umgeschrieben. Wenn die Dateinamen genügend lang und cryptisch sind, hast Du dadurch also etwa dieselbe Sicherheit, wie bei einer Session.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg