Какие есть варианты ограничения доступов к файлам?

Есть примерно следующая система. Crm - в ней есть пользователи и роли. К каким-то документам есть доступ, только у некоторых пользователей, и нужно ограничить доступ для всех остальных.
Напрашивается вполне очевидное решение: Создаем отдельный контроллер, который будет проверять права, логировать, кто запросил доступ на скачивание и т.п. в ответ отправляем контент файла. На сами файлы закрываем доступ, чтобы нельзя было получить их по прямой ссылке Apache/Nginx.

Собственно вопрос, насколько по вашему мнению это хороший подход и есть ли более лучшие реализации?