Ja, das ist sie. Einziges Problem: der Client kennt das Token

Bei einem SSL (TLS) Verbindungsaufbau zu einem HTTP Server wird zuerst der Server kontaktiert und die Verschlüssselung ausgehandelt. Die tatsächliche URL des Requests wird erst danach an den Server gesendet.

Man in the middle Attacken sind dann aber z.B. über einen Proxy möglich, dessen Zertifikat vom Client akzeptiert wird. Der Proxy sieht den gesamten Traffic dann unverschlüsselt. Zum Beispiel bei Unternehmensfirewalls gibt es solche transparenten Proxyserver.