Firebase storageのセキュリティルールについての注意

Firebase Functions上でファイルをアップロードしてURLを取得したいといったケースがあると思います。
この時、以下のような方法が提案されています。
https://stackoverflow.com/questions/42956250/get-download-url-from-file-uploaded-with-cloud-functions-for-firebase
要はアクセストークンを手動で生成してfirebaseStorageDownloadTokensにセット、そのトークンIDを使ってURLを構築しているのですが、これだとFirebase Storageのセキュリティルールが効きません。

私だけの勘違いで常識かもしれませんが、Firebase storageのセキュリティルールはあくまでもgetDownloadURL()のような「アクセストークン付きのURLを取得する」際の制限で、既に有効なアクセストークンがついているURLを知っていたらファイルにアクセスできてしまうということです。

これだとアクセストークンを無効にしない限り、URLを知っていたら誰でもファイルにアクセスできてしまうので、Firebase storageでセキュリティルールを使いたかったら、毎回API経由でURLを取得する必要がありそうです。