Auch das Token ist ja verschlüsselt. Und für die Einzigartigkeit hat man doch eine DB wo alle noch nicht abgelaufenen zugewiesenen Session-ID's und Token drin stehen.
Das Token, die Session-ID und die https Verschlüsselung sind m. E. mit aktuellen Möglichkeiten nur äußerst aufwendig "knackbar".
"Sicher" ist gar nichts in dieser Galaxy. Aber was bringt dich da jetzt in Probleme?