Generas un único token, lo insertas en una db, compruebas ese token si existe o no, si existe permites al usuario descargar y eliminas el token acto seguido, en caso contrario no permites al usuario descargas y le notificas con un error.