Какой смысл в токенах авторизации, если их видно при передачи?
Ну то есть будь то headers или query параметры, не важно, если злоумышленник непосредственно получит доступ к токену после факта самой передачи, даже если он был при этом зашифрован, то значит этот набор символом валиден для использования, ведь на стороне сервера обрабатываться они будут определенным алгоритмом.
То есть если пользователь оставил компьютер и ушел на обед к примеру, можно же спокойно взять и скопировать этот зашифрованный токен, да и сам пользователь может это сделать и разослать его кому угодно. Ведь если отправляя этот набор символов он смог получить доступ, значит и другие смогут.
вопрос из разряда: зачем замки на дверях, когда можно потерять ключи. волков бояться – в лес не ходить.
и почему/зачем циклиться на токенах? ведь можно использовать более другие техники и получить все данные; и пароли, и секретные вопросы.
токен – это компромисс между секурностью и удобством. и, обычно, он привязан к конкретной сессии.
Идея токена в том, что он идентифицирован, т.е. привязан к сессии.
Иными словами, вы пришли в банк, показали паспорт, и больше у вас не просят паспорт до ухода. Если кто-то украдёт ваш паспорт или вы придёте в другой день, то нужно будет снова предъявить документ.
p.s.
Поэтому проблема не в том, что токен видно. Проблема в том, что сессию можно подделать.