Prefacio: No tengo experiencia en proteger aplicaciones en absoluto.
Estoy creando una aplicación web que utiliza la autenticación de Google Plus para iniciar sesión en los usuarios. Mi idea inicial es guardar el token de acceso que se devuelve después de iniciar sesión y almacenarlo en mi servidor y utilizarlo como token de acceso para mi Aplicación Web.
Me preocupa que esto no sea muy seguro. Cualquier persona que esté observando el tráfico de la red en mi aplicación web puede ver el token (en los encabezados) y puede copiarlo y formar sus propias llamadas maliciosas. Incluso si la solicitud estaba encriptada, ¿no es posible que no esté encriptada?
Por otro lado, un atacante tendría que haber iniciado sesión con su víctima, lo que implicaría acceso físico.