如题详述：

目前需求：
对于公司业务，它的资源都是有权限的，比如：上传到系统的文件、图片之类的。

现在是在页面里需要通过一个超链接<a href="*****">，来下载文件，可是这样去下载，因为未带token，后端不能识别，所以不允许通过。

我有尝试过，直接在href属性后面拼接token，可是好像依然没有权限下载（也不知道后台是如何获取这个token的），可是就算可以下载了，但依然有弊端，别人打开控制，找到这个链接，就获取到了token，岂不泄密了？

请问这个问题如何解决？