He notado que mis recursos privados de Google Drive, por ejemplo, aunque es imposible "adivinar" su clave hash y obtenerla (por ejemplo, tbEB6fQTqQcFAoRBXYvnpNVq9F3PUr_cs), sin embargo el servidor requiere autenticación para acceder al recurso.
Por otra parte, en ICloud vi que si bien hay un enlace "externo" que representa cada recurso, es privado, pero la dirección real (a través de la cual el cliente se queda con el recurso) no tiene ninguna autenticación.
Creo que tiene sentido, que no hay forma de que un atacante obtenga la clave en la Cadena de consulta, porque está cifrada por SSL.
La pregunta es si existe algún temor y, por lo tanto, implementar la validación como lo hace Google. Me refiero a una aplicación en la que los recursos no están expuestos de ninguna manera a un usuario sin autenticación.