Вы не можете запретить сторонним поставщикам отправлять токен по HTTP. Что ж, вы должны изменить способ использования токена. Не нужно даже отправлять его в зашифрованном виде или нет.
Используйте токен в качестве предварительного общего секрета. Тогда аутентификация работает следующим образом:
Сторонний поставщик отправляет запрос на сервер, предоставляет имя пользователя или что-то еще, что идентифицирует его на сервере
Сервер отправляет запрос. Обычно это применение односторонней функции - хеш-функции. Итак, сервер просит клиента отправить SHA1-хэш аутентификационного токена.
Клиент решает задачу, вычисляя SHA1-хэш аутентификационного токена. Затем он отправляет результат обратно на сервер.
Сервер проверяет результат, вычисляя тот же хэш SHA1 для аутентификационного токена.
Предположим, что вы используете безопасную хеш-функцию, у злоумышленника нет шансов украсть токен, поскольку он передается только как хеш-значение.
Дополнительная литература :
https://blog.restcase.com/restful-api-authentication-basics/