Защита файлов от прямого скачивания

location /download/ {
            rewrite ^/download/ /download.php;
            }

В ссылке на загрузку можно вставить например хешь из ip пользователя и секретного слова, обработчик проверит, если хеши из ссылки и хешь пользователя совпадают, то отдаём файл. Проще говоря, привязываем ссылку к IP пользователя, например так

https://site.ru/download/'.md5($_SERVER['REMOTE_ADDR']."секретное слово").'/file.apk

Если нужно можно в ссылке закодировать время жизни ссылки, да много чего можно!

Отдаём файл вот такой командой, где $path реальный путь до файла на сервере.

header("X-Accel-Redirect: ".$path);

Можно заблокировать в конфиге внешний доступ к папке с файлами командой internal, но лучше сделать реальный путь до файла не имеющего не чего общего со ссылкой...

В обработчике загрузки можно например поставить увлечение счётчика загрузок, проверить страну, браузер и так далее, на что у вас фантазии хватит!