Bejelentkezés még POST-al menne, ekkor generálnál egy linket egy hash-el, amire a átirányítanád a usert.
A hashelt linken meg valami egyszerűbb php lökné a fájl tartalmát a megfelelő header-el.
A letöltés megkezdésekor a hash link érvénytelenné válna.
Ebben én nem látok biztonsági kockázatot.
------------------
My Open-Source Android "Projects"