Questo è sicuro se:
- l'utente malintenzionato non può accedere (il che implica che l'intero processo di autenticazione deve essere protetto)
- l'utente malintenzionato non può ottenere un token valido (il che richiede che i token vengano mantenuti laddove l'utente malintenzionato non può ottenerli e non essere trapelato trasmettendoli)
- la verifica del token non può essere ignorata e accetta solo token validi
Mentre SSL (implementato correttamente) proteggerà il token in transito, il token rimane vulnerabile agli endpoint della comunicazione e a qualsiasi intermediario che fa intercettazione SSL (come "proxy HTTPS"). Anche se questi sistemi sono affidabili, possono perdere il token senza intenzione, ad esempio perché registrano la richiesta (ad esempio, è meglio non passare il token nell'URL, perché ciò si verifica comunemente nei file di log).