はじめに ActiveStorageにデフォルトで用意されているURLヘルパでは、何も認証が掛かっていない永続的なURLが生成されます。 具体的にはバックエンドがs3の場合、以下のような2種類のURLが生成されます。 https://example.test/rails/active_storage/blobs/redirect/SIGNED_ID/sample.jpg https://BUCKET.s3.ap-northeast-1.amazonaws.com/KEY?QUERY この場合、1のrailsのURLは認証なし(期限なしのSigned Id)の永続的なURLで、そこからリダイレクトされる2のs3のURLが期限付きという挙動になります。 そのため万が一、1の永続的URL漏洩時に備えて何かしらの認証処理を挟もうとすると一手間必要となります。 ログインユーザーなら誰でも全てのファイ