После получения токена носителя с вашего сервера этот токен должен быть передан в заголовок HTTP Authorization со значением Bearer <token_here> для доступа к защищенным ресурсам на стороне сервера.
С Retrofit 2 вы можете предоставить HTTP-заголовок, например:
@GET("/api/endpoint")
fun getResource(@Header("AUTHORIZATION") value: String): Call<ResponseType>