下面是使用download属性、fetch API和URL.createObjectURL在客户机上下载该文件的一种方法：使用JWT获取文件，将有效负载转换为blob，将blob放入objectURL，将锚标记的源设置为该objectURL，然后在javascript中单击该objectURL。

let anchor = document.createElement("a");
document.body.appendChild(anchor);
let file = 'https://www.example.com/some-file.pdf';

let headers = new Headers();
headers.append('Authorization', 'Bearer MY-TOKEN');

fetch(file, { headers })
    .then(response => response.blob())
    .then(blobby => {
        let objectUrl = window.URL.createObjectURL(blobby);

        anchor.href = objectUrl;
        anchor.download = 'some-file.pdf';
        anchor.click();

        window.URL.revokeObjectURL(objectUrl);
    });

download属性的值将是最终的文件名。如果需要，您可以从内容处置响应头as described in other answers中挖掘预期的文件名。

技术

基于Auth0的Matias Woloski（著名的JWT传道者）的this advice，我通过使用Hawk生成一个签名请求来解决这个问题。
引用Woloski的话：
解决这个问题的方法是像AWS那样生成一个签名请求。
此技术的Here you have an example，用于激活链接。

后端

我创建了一个API来签署我的下载网址：
请求：

POST /api/sign
Content-Type: application/json
Authorization: Bearer...
{"url": "https://path.to/protected.file"}

回复：

{"url": "https://path.to/protected.file?bewit=NTUzMDYzZTQ2NDYxNzQwMGFlMDMwMDAwXDE0NTU2MzU5OThcZDBIeEplRHJLVVFRWTY0OWFFZUVEaGpMOWJlVTk2czA0cmN6UU4zZndTOD1c"}

有了签名的URL，我们就可以得到文件
请求：

GET https://path.to/protected.file?bewit=NTUzMDYzZTQ2NDYxNzQwMGFlMDMwMDAwXDE0NTU2MzU5OThcZDBIeEplRHJLVVFRWTY0OWFFZUVEaGpMOWJlVTk2czA0cmN6UU4zZndTOD1c

回复：

Content-Type: multipart/mixed; charset="UTF-8"
Content-Disposition': attachment; filename=protected.file
{BLOB}

前端（通过jojoyuji）

这样，您只需单击一次即可完成所有操作：

function clickedOnDownloadButton() {

  postToSignWithAuthorizationHeader({
    url: 'https://path.to/protected.file'
  }).then(function(signed) {
    window.location = signed.url;
  });

}

一个替代现有的“fetch/createObjectURL”和“download-token”方法是一个标准的Form POST，目标是一个新窗口。一旦浏览器读取了服务器响应中的附件标题，它将关闭新标签并开始下载。同样的方法也适用于在新标签中显示PDF等资源。
这对旧的浏览器有更好的支持，避免了管理一种新的令牌类型。这也比URL上的基本认证有更好的长期支持，因为浏览器正在删除URL上的用户名/密码支持。
在 * 客户端 ，我们使用target="_blank"来避免导航，即使在失败的情况下，这对SPA（单页面应用程序）特别重要。
主要的警告是， 服务器端 * JWT验证必须从POST数据中获取标记，而不是从头部中获取标记。如果您的框架使用Authentication头部自动管理对路由处理程序的访问，则可能需要将处理程序标记为未验证/匿名，以便您可以手动验证JWT以确保正确的授权。
表单可以动态创建并立即销毁，以便正确清理（注意：这可以在普通JS中完成，但为了清楚起见，这里使用JQuery）-

function DownloadWithJwtViaFormPost(url, id, token) {
    var jwtInput = $('<input type="hidden" name="jwtToken">').val(token);
    var idInput = $('<input type="hidden" name="id">').val(id);
    $('<form method="post" target="_blank"></form>')
                .attr("action", url)
                .append(jwtInput)
                .append(idInput)
                .appendTo('body')
                .submit()
                .remove();
}

只需添加任何需要作为隐藏输入提交的额外数据，并确保它们已追加到表单中。

詹姆斯答案的纯JS版本

function downloadFile (url, token) {
    let form = document.createElement('form')
    form.method = 'post'
    form.target = '_blank'
    form.action = url
    form.innerHTML = '<input type="hidden" name="jwtToken" value="' + token + '">'

    console.log('form:', form)

    document.body.appendChild(form)
    form.submit()
    document.body.removeChild(form)
}

我会生成用于下载的令牌。
在angular中，发出一个经过验证的请求来获取一个临时令牌（比如一个小时），然后将其作为get参数添加到url中，这样你就可以用任何你喜欢的方式下载文件（window.open ...）