Apenas pensando em voz alta. Eu posso pensar em dois cenários.
O primeiro é que você tem permissão para usar o PHP (ou python, ruby ...) no seu apache.
Basta fazer o usuário solicitar um script PHP ao fazer o download de um arquivo e, em seguida, o seu php fará uma solicitação ao glassfish (se esse usuário tiver permissão para baixar este software?), se estiver ok, atenda a partir do PHP um 403 (proibido).
O segundo estará executando o mesmo que acima, mas na forma de um módulo do apache.