Io userei uno script php che verifica se l'utente è autorizzato (es tramite session) e nel caso manda in output il file pdf tramite readfile("path_nascosto/il_tuo_pdf.pdf") dopo aver settato il mime tramite header("Content-type: application/pdf").

Così l'utente vede solo il php e non conosce il vero indirizzo del pdf.