Hallo Justin,
ganz einfach gesagt, bei einem URL Aufruf, kann bei jedem Server der zwischengeschaltet ist und spätestens auf den jeweiligen Servern wird sowas gerne im access.log aufgezeichnet, wodurch der Token relativ einfach abgegriffen werden kann.
Besser wäre sowas im Header mitzugeben, dann wird es auch nicht mitgeloggt (und man kann auch auf dieser Basis eine Identifikation machen) und das ist auch der bessere Weg, wären das schützenswerte Daten dann hätte das so nicht mal umgesetzt werden dürfen!
Wo ich mir aktuell nicht sicher bin, was passiert wenn ich eine Webrequest via php/JavaScript mache, wird das nicht im Browser sogar angezeigt, damit wäre ein Token dann auch aufgedeckt, ob das jetzt stimmt bin ich mir nicht sicher, bei Angular ist das aufjedenfall der Fall das man diesen Token sehen kann und das ist am Ende JavaScript wenn es kompiliert ist!
Somit könnte jeder den Token abgreifen was ich nicht in Ordnung finde und somit hätte ein anderer Betrieb die Informationen des anderen Betriebes, sobald er Zugriff auf das Forum hat.
Auch was ich nicht so dolle finde, somit könnte jeder meinen Fahrstil sehen, sobald der Token "public" wird.
Gruß,
Jan