当然token设计的时候要增加对于有效时间等细节。

当然如果更学术的方案就是采用证书链。

该用户上传之后，签发一个仅该文件和用户绑定的数字证书。用户使用自己私钥给别人签发。

最后想要获取资源的话就需要把自己的证书链上传即可。

第二种方法就是给文件加密，解密端实际在客户端，用户必须拥有正确的密钥才能打开文件。

这里面更学术的方案就是属性加密（ABE）。

用户可以将自己的密钥拆分为多份来让大家访问等等，支持细粒度的加密访问。

这种方法的优点就是无需保证服务器的安全，具有更高的安全性。