1 вариант - как уже написали, создать роут для обработки файлов `/files/:filename` с проверкой доступа и последующей отдачи файла через stream.
2 вариант - примерно тоже, но статику будет раздавать nginx, а приложение будет контролировать доступ к файлам через заголовки `X-Accel`.
