Ja. SSL bzw. TLS arbeitet auf OSI-Schicht 4 (daher der Name "Transport Layer Security"), HTTP/REST auf Schicht 6 bis 7. Das heißt, die komplette HTTP/REST-Kommunikation einschließlich dem Übermitteln von URLs ist verschlüsselt.

Ich würde mir nur Gedanken machen, ob die Aufrufe vom Server eventuell geloggt werden. Da könnte es sein, dass das Token dann im Klartext im Logfile auftaucht. Keine Ahnung, ob das bei deiner Anwendung ein Problem ist.