Utilizamos la 2ª forma, y dentro de la página de descargar volvemos a hacer la validación de usuario y password:
Cita:
Iniciado por elgoncho99 
Como haces la descarga?
[...]
Código HTML:
Ver original<a href='http://www.eldominio.com/descargas/descargar.php?file=documento.zip'>Descargar
</a>
Adjunto el código de cómo lo hacemos:
Link de descarga:
Código HTML:
Ver original<a onclick="window.location.href='descarga_fichero.php?id=48558&id_aula=A1188788&p=5'" title="descarregar 21115400_cat.pdf" class="Arial11BlueBold ManoSola">Descarregar
</a>
Código PHP:
<?PHP session_start();
//Para evitar usuarios no deseados
if ($_SESSION['auth']!=true)
{
session_unset();
header('Location:index.php');
exit;
}
...