背景：一个系统的文件下载，如何做到只有你能看到这个文件，那么你才拥有下载这个文件的权限。也就是说，a用户(用户信息通过jwt解密cookie携带token信息获得)手动调用下载文件的接口，如果a用户看不到这个文件，那么就不能让a用户下载这个文件。
如何定义能不能看到文件。假如工单1拥有文件a。用户a，在工单管理页面能看到工单1。那么定义用户a能看到文件a。类推，可能在各个页面。
文件下载接口就一个文件参数。
开发组长给出的解决方案，是根据文件id，从各个业务逻辑里面判断用户是否能看到文件。然后判断用户是否有下载文件的权限。
我认为根本无法落地，但是，好像没有什么好办法[吐血][吐血]