Ну, какое приложение вы используете?Если это что-то вроде MVC (или имеет уровень маршрутизации), вы, возможно, могли бы указать какой-либо тип перехвата или обслуживать их из контроллера, чтобы путь doc/<rdoc-files> обрабатывался контроллером, который выполнял бы аутентификацию пользователя и затем обслуживал любой статический файлпользователь запрашивает.
Вы также можете поместить все в IFrame, который занимает все окно (и на самом деле не должно быть видимым), и вы могли бы обслуживать серверную часть IFrame и включать в нее свою аутентификацию.
Существует очень много способов, с помощью которых вы можете запретить несанкционированным пользователям доступ к вашей документации.Это действительно зависит от того, с чем вам удобно.