Сделать URL недоступным для всех, кроме определенной веб-страницы

Самый простой способ, которым я могу придумать для достижения этой цели, — это использовать уникальную переменную сеанса, сгенерированную для файлов в папке / clientid — независимо от того, для чего они предназначены, это были бы простые страницы PHP, которые загружали файлы через download.php.

session_start();
$_SESSION['file_id'] = $secret_file_id;
header("Location: http://example.com/download.php?clientid=28692692846");

Затем в файле download.php проверьте эту переменную.

session_start();
if((isset($_SESSION['file_id'])) && ($_SESSION['file_id'] == $secret_file_id)) {
// Offer file for download
} else {
//Not referred from correct URL, reject.
}

Да, вы можете достичь этого через .htaccess с помощью:

order deny,allow
deny from all
allow from example.com/download.php

Это запретит всем доступ, если они не посещают через example.com/download.php,

Если вы используете Apache 2.4, вам нужно будет использовать:

Require all denied
Require host example.com/download.php

Очевидно, вам нужно будет разместить .htaccess файл в папку, к которой вы хотите ограничить доступ тоже. Так что, если я правильно понимаю вашу файловую структуру, это будет /clientid/