Если вы используете только один токен, который выдается сервером при первоначальной аутентификации, он может использоваться для любого запроса, если он перехвачен. Ваша единственная защита - время истечения.
Помимо этого, это зависит от ваших вариантов реализации.
Более безопасная система - добавлять временную метку (и, возможно, одноразовый номер) к каждому запросу, подписывать ее и включать в каждый запрос. Требуется, чтобы клиент обрабатывал учетные данные аутентификации, знал реализацию подписи и подписывал каждый запрос.
Вы можете поочередно выполнять проверку подлинности сервера при каждом запросе (что можно сделать с помощью OpenID) или выдавать несколько токенов и выполнять повторную проверку подлинности, когда требуется больше (что можно сделать с помощью OAuth). Если клиент может хранить учетные данные, они могут быть невидимы для пользователя. Это более сложные задачи, требующие зашифрованный транспорт, такой как SSL, для некоторых взаимодействий, а также клиент, который может использовать HTTP-перенаправления и обрабатывать файлы cookie или другое сохраненное состояние. Клиенту не нужно было бы знать, как подписывать, но если вы можете использовать SSL, вам, во-первых, вам не понадобится сложность.
Если вам не нужно быть независимым от клиента, вы, вероятно, хотите подписывать запросы.
Информацию о реализации подписи, примерах и библиотеках см. В Amazon Web Services, OpenID или OAuth.
Что касается срока действия токена, то он зависит от ваших потребностей. Более длительная жизнь жетонов увеличивает количество повторных атак. Одноразовый номер делает токен одноразовым, но требует большего состояния на сервере.