Puedes configurar el servidor web para que no se puedan acceder a tus ficheros directamente con la URL (protección contra hotlinks)

Puedes configurar el servidor web para que cada vez que intenten acceder a un fichero de una determinada ruta se les redireccione a un determinado PHP donde comprobarías el usuario y luego "servirías" el fichero.

Puedes tener esos ficheros en una ruta inaccesible desde fuera y "servirlos" desde un php donde comprobarás el archivo pedido y el usuario logueado.

Habrá más formas e incluso mejores... pero son las que se me ocurren ahora.