Ho notato che le mie risorse private di Google Drive, ad esempio, anche se è impossibile "indovinare" la loro chiave hash e ottenerla (ad esempio tbEB6fQTqQcFAoRBXYvnpNVq9F3PUr_cs), tuttavia il server richiede l'autenticazione per accedere alla risorsa.
D'altra parte, in ICloud ho visto che mentre c'è un collegamento "esterno" che rappresenta ogni risorsa, è privato, ma l'indirizzo reale (da cui il lato client fa la risorsa) è privo di autenticazione.
Penso che abbia senso che non ci sia modo per un utente malintenzionato di ottenere la chiave in Query String, perché è crittografata da SSL.
La domanda è se c'è qualche timore e quindi implementare la convalida come fa Google. Sto parlando di un'applicazione in cui le risorse non sono esposte in alcun modo a un utente non autenticato.