我正在使用Django作为后端的项目中工作。我正在使用Django rest框架，并且有一个API可以下载文件。

@detail_route(methods=['GET'], permission_classes=[IsAuthenticated])
def test(self, request, pk=None):
    try:
        ticket = Ticket.objects.get(id=pk, user=request.user)
        file_path = ticket.qrcode_file.path
        if os.path.exists(file_path):
            with open(file_path, 'rb') as fh:
                response = HttpResponse(fh.read(), content_type="image/jpeg")
                name = "%s %s %s %s.jpg" % (ticket.show.title, datetime.strftime(ticket.show.date_time,
                                                                                       "%H_%M_%p"),
                                            datetime.strftime(ticket.show.date_time, "%d %B %Y"), ticket.id)
                response['Content-Disposition'] = "attachment; filename=%s" % name.replace(" ", "_")
                return response
        return Response({'error': 'Ticket doest not belong to requested user.'}, status=status.HTTP_403_FORBIDDEN)
    except Ticket.DoesNotExist as e:
        return Response({'error': str(e)}, status=status.HTTP_404_NOT_FOUND)

在前端，我正在使用Nuxtjs（用于vuejs的ssr）。这是一小段代码，用户可以通过单击目标空白的链接来下载文件：

<a class="downloadBtn" target="_blank" :href="`${baseURL}/payments/api/tickets/${ticket.id}/download_ticket/`">Download e-ticket</a>

该Web应用程序在Nuxtjs服务器（localhost：3000）上运行，而Django服务器在localhost：8000上运行，仅使用API​​通过auth令牌在Nuxtjs和Django之间进行通信。

当我单击下载链接时，它将打开一个新选项卡，并从该新选项卡发出请求，该请求中未传递任何令牌。而且，由于django视图无法下载票证，permission_classes=[IsAuthenticated]因此无法像request.user匿名身份一样对我进行身份验证。

通过检查请求的用户是否是票证的所有者，还有其他方法可以使我下载文件吗？