Esto se llama seguridad basada en capacidades y es una buena opción cuando tiene contenido compartido altamente distribuido. .
Todos los usuarios que requieren acceso reciben una URL única que es equivalente a un token.
El inconveniente es que si se filtra el "token", los usuarios no autorizados podrán acceder al contenido, pero el alcance se puede limitar al caducar los tokens, y en cualquier caso se usa solo para contenido semipúblico.
También, para el contenido de redes sociales como imágenes, los mecanismos por los cuales se pueden filtrar los tokens son los mismos mecanismos por los que las propias imágenes pueden. El token no es adivinable (o al menos no debería serlo)
Creo que la respuesta aquí es oficial por Facebook.