2. Самое правильное решение - на бэкэнде поставить скрипт, на который
будут направляться все запросы типа /download2/file.exe. Скрипт проверив
что отдавать этому юзеру этот файл можно выдает заголовок с
X-Accel-Redirect с патем к файлу /download/file.exe. В nginx location
/download/ прописывается с флагом internal, тогда файлы скачать можно
будет только через /download2/.
скрипт не может проверить отдавать или нет.
былобы хорошо так - nginx ловит редирект на папку и подставляет URL файла
указанный с конфиге а отдаёт ешо из другой папки.
и ещё получится редиректа избежать на клиентской стороне - что ещё один плюс.
