non so come sia strutturata la tua applicazione, se usi qualche framework, ecc... Cosi' in prima battuta mi vengono in mente 2 cose tra loro alternative:
1) controlli nella servlet che permette di accedere ai files la corrispondenza tra la cartella che l'utente sta cercando di aprire e gli effettivi permessi che l'utente ha (hai detto che passi dal database per "abbinare" gli utenti alle loro cartelle, quindi sai quali cartelle corrispondono a quali utenti). Per effettuare il controllo dovresti avere in session o da qualche parte l'oggetto utente, o l'id dell'utente.
2) fai una servlet filtro che quando chiami determinati url (quelli di accesso alle cartelle) fa lo stesso controllo descritto prima.

funzionano entrambe, la seconda soluzione e' solo leggermente piu' aspect oriented