Mmm.. la soluzione di Ratatuia è sicuramente buona, ma non risolve tutti i problemi:

1. le pop-up molti utenti non le vedono grazie ai pop-up killer
2. il percorso del file pdf lo si può ricavare facilmente guardando l'indirizzo della pagina (tramite tasto destro, anche nel caso della popup)


La soluzione che ti consiglio e non ti dà problemi è questa:

1. crea un db mysql con all'interno un campo LONGBLOB (Dove inserirai il sorgente del file pdf) e altri campi a tua scelta

2. una volta autenticato l'utente, estrapola il contenuto del campo LONGBLOB (dove è presente il sorgente del file pdf) e mostralo via header all'utente validato

In questo modo è tutto il php che gestisce anche la generazione dei file.

Ciao!