остановить несанкционированную загрузку файла в asp.net

У меня есть страница login.aspx с пользовательским текстовым полем для имени пользователя и пароля, т.е. без loginview
после ввода правильного имени пользователя и пароля я назначаю sessionid который используется для посещения других страниц сайта.

Теперь, чтобы загрузить файл (1234), я перенаправляю пользователя на ~/download.aspx?fileid=1234, на этой странице я проверяю идентификатор сеанса и отправляю пользователю к URL-адресу файла, например ~/file/1234.pdf.
если кто-то напрямую вводит URL-адрес файла, я не могу его остановить.
пожалуйста, подскажите, как это сделать...

P.S. : я прочитал о правиле аутентификации в файле web.config, но не знаю, как пометить пользователя как аутентифицированного, он указывает правильное имя пользователя и пароль при входе в систему. (я только проверяю имя пользователя и пароль из базы данных и перенаправляюсь на домашнюю страницу)