Вы можете использовать авторизацию пользователей через MySQL базу данных
https://httpd.apache.org/docs/current/mod/mod_auth...
Но в целом это да, традиционно запрос через mod_rewrite направляется в php файл, там проверяется доступ к этому ресурсу, а далее
php.net/manual/ru/function.readfile.php 
