AWS Coudflare 签名 URL 替代方案

我们有一个移动应用程序+网络应用程序，可以显示某些内容。 这两个应用程序都显示来自云端的内容。在大多数情况下，它会一一显示，但在某些使用场景中，移动应用程序可能需要将数百个文件下载到设备。 我们希望确保只有注册用户才能访问这些文件。

截至目前，我们正在使用另一个云，我们可以在其中生成令牌，并且该令牌可用于下载任何文件，但时间非常有限，我们正在刷新该令牌。

在 AWS 中，我们正在考虑使用签名 URL，但它仅适用于单个文件。它会导致一些问题：

1. 如果我们要对客户端上的每个 URL 进行签名，我们将必须向设备公开密钥，并且必须以编程方式在 CloudFront 上轮换这些密钥。
2. 我们可以为应用程序提供已经预签名的 URL，但在某些情况下，我们会在很长一段时间内逐个下载这些文件。这意味着某些签名可能会过期，我们必须重新从后端获取这些链接。
3. 我们可以在使用前在后端对 URL 进行签名，但这会重复对后端的调用量，增加额外的网络延迟，增加服务器工作负载，并且在批量下载的情况下会延长下载时间。

是否有任何选项可以生成限时令牌，可用于通过 CloudFront 访问多个文件？