关于jwt生成的token和session的安全性问题

现在我所做的项目是前后端分离的，主要是api接口的开发，登陆逻辑是这样的，
首先用户使用账号密码登陆，如果正确的话会自动生成一个token，并将token存放在redis中，同时将token返回给前端，之后前端每次调用api接口的时候都会在http的head中增加一个"X-TOKEN"的头，里面存放的就是token值，之后就会将该token和redis中的比较，看是否能成功。
问题在于，如果有人拦截获取了这个token值，比如说用户连接了他家的wifi，然后设计一个ajax按照那个逻辑存放token值然后访问api接口，不就可以直接获取数据了吗，这样做的安全性在哪？？？