GCP Storageはダウンロード時にはセキュリティルールは適用されない
セキュリティルールは、「getDownloadURL()」を利用して、トークン付きURL を取得する場合には適用される。
しかし、一度取得した トークン付きURL でダウンロードアクセスする際には、セキュリティールールは適用されない。
つまり、発行後のダウンロードURLをユーザが外部にE-mailなどした場合、セキュリティルールの設定にかかわらず誰でもダウンロードは可能になってしまう。
じゃあ、有効期限の設定は?
また、有効期限expiresの設定は、サーバサイド向けのAdminAPIの「getSignedUrl()」にはあるのだが、クライアント向けの「getDownloadURL()」にはない。
つまり
実装する機能によっては、自作のバックエンドを介した方が良い。