Чтобы уточнить: вы хотите, чтобы клиент не вызывал URL, содержащий секретный токен, по незашифрованному соединению, верно?Если это так, то проблема в основном не с вами, а с браузером клиента.Вы можете перенаправить клиента к безопасному соединению, если он еще не использует его, но даже если вы сделаете это , клиент уже сделал небезопасный перехватываемый запрос на ваш сервер, прежде чем он будет перенаправлен!
Mozilla пытается решить эту проблему.Начиная с Firefox 4 сервер может отправлять заголовок Strict-Transport-Security, который впоследствии предотвратит незашифрованный доступ (хотя очевидно, что до отправки заголовка незашифрованный доступ все же может иметь место.)
Дальнейшее чтение при взломе.mozilla.org