Si tratta di sicurezza basata sulle funzionalità ed è una buona opzione quando si dispone di contenuti condivisi altamente distribuiti .
A tutti gli utenti che richiedono l'accesso viene assegnato un URL univoco equivalente a un token.
Lo svantaggio è che se il "token" è trapelato gli utenti non autorizzati saranno autorizzati ad accedere al contenuto, ma l'ambito può essere limitato scadendo i token, e in ogni caso è usato solo per contenuti semipubblici.
Inoltre, per i contenuti dei social network come le immagini i meccanismi attraverso i quali i token possono essere trapelati sono gli stessi meccanismi con cui le immagini stesse possono. Il token non è ipotetico (o almeno non dovrebbe essere)
Credo che la risposta qui è ufficiale di Facebook.