Quote

Meiner Meinung nach: das Token besagt ja nur, dass sich jemand mal (jetzt, vor einiger Zeit, vor langer Zeit) mit Username und Passwort authentifiziert hatte.

Ja. Das ist ja auch völlig OK für eine erfolgreiche Authentifizierung einen Token zu bekommen. Problematisch ist es meiner Meinung nach, wenn für alle nachfolgenden Aktionen die eine Authentifizierung erfordern anstelle derer das Token tritt. Denn allein mit diesem Token kann man alles machen wofür man normalerweise Benutzername und Passwort braucht.

Ich halte das für nicht sicher.