Т. е.
для accesskey_signature выставляем что-то вроде "$cookie_issignedin",
для всех залогиненых ставим куку issignedin, например, в "yes",
и раздаём ссылки вида http://example.com/download/file.zip?key=09093abeac094, где "09093abeac094" -- это заранее известный хэш куки issignedin.
Правильно я понял?