Любопытно.
Просто 302 это временный редирект, который от конкретного адреса для браузера переводится примерно как "сейчас вон там, но может переместиться, так что если будешь снова его искать, это ко мне". Для него оставлять исходную ссылку в истории вполне логично.
Тогда как 301 редирект перманентный, и означает "он там, и сюда больше не ходи, сразу туда, а то я скорее всего скоро уйду". Вот он оседать в истории не должен по идее.

Проблема вроде простая, не очень верится, что ей нет решения на уровне http. По смыслу 301 и 308 должны подходить (большой разницы между ними, впрочем, нет, разве что 301 может поменять метод запроса на GET, а 308 оставит исходный).
Пощупаю на досуге 👀

возможно еще в разных браузерах по-разному реализовано

Сейчас попробовал огнелис и хром, оба не сохраняют даже 302. Так что у меня смутное подозрение, что на URL с токеном отдаётся всё-таки не голый редирект. Но это надо уже погружаться в конкретное приложение.

Не голый, с кукой

Под "голым" я понимаю "без осмысленного тела для рендеринга", т. е. браузер игнорирует тело ответа и сразу следует редиректу. Кука в хедерах живёт.

А раз что-то осело в истории, видимо браузеру было что показать.

За сим подозреваю, что по исходной ссылке с токеном отдаётся не 302, а что-то отображаемое.

ну тут какбы так, в history (cmd+Y) нет, а в строке браузера дополнение работает, пример
http://test.greenbytes.de/tech/tc/httpredirects/t302loc.asis
если оставить в строке только http://test.greenbytes.de/tech/tc/httpredirects/ он тебе предложит полный путь, я про это

А, я про назад/вперёд и историю как раз.
Что касается запоминания для донабора... Это я ещё не тестил. Но да, это фича относительно новая, в HTTP может уже и не охвачена 🤔

Если решение где-то и есть, подозреваю что в области запрета на кэширование.

Во человек по этому вопросу даже исходники Хромиума перерыл (tl;dr: нет, для хромиума никак [по крайней мере на тот момент]):
https://security.stackexchange.com/a/128303

Так что да, скорее всего можно только отозвать токен после использования и жить с засорённой историей.

Нет никакой гарантии, что ссылка не останется ещё где-то в истории (смс, мессенджер, заметки, почта и т.д.)

автодополнение не самое страшное место ещё)

Как бы она в поиске яндекса не всплыла

О да, я ещё помню весёлые истории с смсками Мегафона в поиске Яндекса.

Что за истории?

Ну, например:
https://www.kommersant.ru/doc/1681320

Лоооол

Ну это вариант экспайринга)