Ограничение к файлам mediaSource для анонимных пользователей frontend

Это уже другой источник файлов, проблема в том, что контроль доступа туда работает только в админке MODX. Файлы загруженные в эту папку доступны по прямой ссылке любому пользователю (в том числе анонимному), либо я настроил не правильно.

Сделал временное решение, но мне оно не очень нравится. описываю решение:
в папку которая указана в basePath положил файл .htaccsess т.к. сервер на apache2 со строкой

deny from all

Что запретило доступ к файлам по прямой ссылке всегда, но php имеет к ним доступ.

Поэтому создал сниппет с кодом:

<?php
$file_url = $modx->getOption('assets_path') . 'components/dbd/files/' . $filename;

if (!is_file($file_url)) { return false; }

header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary"); 
header("Content-disposition: attachment; filename=\"" . basename($file_url) . "\""); 
ob_clean();
flush();
readfile($file_url); 
exit();

Тут мы обращаемся к имени файла переданного в сниппет и выдаем его в буфер вывода с соответствующими заголовками.

Вызвал сниппет [[!file_download?&filename=`[[!#GET.fn]]`]] передал ему get параметр содержащий имя файла. Сниппет вызван на странице которая принадлежит группе ресурсов на которую настроен доступ только для авторизованных.

Вроде работает, но уверен есть решение лучше. Оставлю это тут, если кто-то будет искать подобное решение, и надеюсь что более опытные пользователи посмотрят решение и предложат лучшую альтернативу.