Los URL Shortener son simples redirecciones. A la hora de la verdad, no va a cifrar nada.
Tienes muchas opciones; visualización con login, controles por ip, etc.

Podrías hacer algo como:
$hash = md5('semilla' + $ipUser);

Luego cuando mandes la Url con el hash haces la comprobación de que la ip y semilla del user correspondan al hash.
Puedes regenerar los hashes cada día (para los users de ip dinámica)