他のレコードまで見えても別に良いものもある。そういうのは別に構わない。

もちろん他のデータが見えてはいけないものもある。TwitterのDみたいに。
それはデータ引っ張ってくる段階、コントローラ側で弾く。

ワンタイムトークンが必要なものはそのように実装する。
ただCSRF対策とかはもう入ってるから、GETに使うのは結構限られる。