Как минимум: вы должны сверять не просто токен, а сопоставлять токен и сессию пользователя. Иначе ваш велосипед будет уязвим ко всем типам MiTM-атак. Судя по тексту уязвим будет каждые 24 часа - достаточно дождаться авторизации пользователя и после этого можно передать токен атакующему скрипту.