Как вы храните данные о правах доступа в настоящее время?Похоже, вы не сможете использовать IIS для управления доступом к вашим файлам, и вам придется справиться с этим самостоятельно.
В этом случае вместо прямой ссылки на файл следует хранить файлы вне корневого веб-каталога, а затем обрабатывать запросы, поступающие для файлов через ASP.NET MVC, с помощью метода GET.На этом этапе вы можете проверить учетные данные пользователя, и, если у них есть доступ, вы можете предоставить файл.
Я не слишком знаком с ним, но, похоже, ASP.NET MVC упрощает обслуживание файлов.с возможностью возврата FileContentResult, поддерживаемым методом Controller.File (документация здесь ).
Этот пост выглядит как хорошее начало, ивам просто нужно вставить свою логику проверки учетных данных в метод Get.