Dalla tua domanda non è chiaro se sei vulnerabile o meno.
Il token è stato corretto o è un token generato casualmente e crittograficamente strong? se è corretto non ha alcun valore.
Stai usando SSL? in caso contrario, il tuo token può essere annusato e rubato: si consiglia vivamente di utilizzare SSL.
Si noti inoltre che non è consigliabile passare il token nell'URL. Gli URL sono sensibili poiché sono soggetti ad accedere in molti luoghi come cronologia del browser, dispositivi di rete ecc ... link
Come si convalida sul lato server che il token è valido? lo tieni nella sessione del server? Solitamente le API REST sono progettate per essere apolidi, il che significa che nessuna sessione deve essere mantenuta. Se si desidera attenersi a questa regola, è necessario creare il token in un cookie solo http e su ogni chiamata API inviare il valore del cookie come parte della richiesta. La tua API dovrebbe quindi verificare che il valore del cookie sia uguale al token nella richiesta.
Un utente malintenzionato non ha potuto leggere il cookie e quindi non sarebbe stato in grado di inviare il token corretto nella richiesta.
questo è un bel blog a riguardo: link