为了阻止“外部”访问文件或目录是，您可以使用所示指令的修改

<Directory "Z:/documents">
  Require local
  Require ip 172.16.0.10
  Require ip 192.168.1.0/24
  Require all denied
</Directory>

在本例中，只有“localhost”（Web服务器本身）、IP为www.example.com的机器172.16.0.10以及子网www.example.com中的任何机器192.168.1.0/24可以通过Web直接访问此目录。
编辑，由于（不必要的？）洞察PHP端
现在，除了写入的IP之外，所有的目录访问都被禁用。为了下载文件，在您当前拥有文件直接链接的页面上（例如：<a href="domain.com/<directory>/nameofdocument.pdf">），则需要将其替换为类似<a href="domain.com/fileManager.php?fileId=32">的内容
32当然是例如存储可用文件的数据的表中的文件的id。
在您的fileManager.php页面中，您将需要有如下内容

// Other stuffs
....
// Check if the user is logged in
$logged_in = $this->isLoggedIn();
if ($logged_in) {
    // Ok, the user is logged in
    // Go to retrieve the path for the requested file id
    $file = $this->docDb->findDocument( intval( $_GET [ "fileId" ] ) );
    // Does the file exists?
    if (file_exists( $file )) {
        // Here we are, the file exists. Force the download
        header( 'Content-Description: File Transfer' );
        header( 'Content-Type: application/octet-stream' );
        header( 'Content-Disposition: attachment; filename="' . basename( $file ) . '"' );
        header('Expires: 0' );
        header( 'Cache-Control: must-revalidate' );
        header( 'Pragma: public' );
        header( 'Content-Length: ' . filesize( $file ) );
        readfile( $file );
        // Exit or do other things, it depends on your purpose after downloading the file
        exit();
    } else {
        // Nope, the file doesn't exists
        $this->error( "Sorry, the requested file does not seem to exist" );
    }
} else {
    // Nope, the user isn't logged in
    $this->error( "Sorry, you're not authorized to download the file" );
}
// Other stuffs
....

将documents文件夹放在网站之外，在Apache中没有为它配置目录。然后有一个getDocument.php脚本，当传递合适的文档ID（例如也许你的数据库中有存储的文档？），首先检查用户是否具有有效的登录会话，如果是，则使用readFile()将文件输出到客户端（当然，还要设置适当的头，以便它作为下载出现）。
这样，对文件的唯一访问是通过一个脚本，该脚本首先验证您的状态。直接链接将不起作用，因为没有直接的HTTP路由到文件本身。