Как гласит первый автор, это популярная модель, позволяющая клиентам сначала пройти аутентификацию в вашей системе (Google делает это для ряда своих API). Ответ на который включает токен, который клиент должен включить в качестве параметра при последующих запросах.
например. HTTP POST (через SSL) до http://you/auth с именем пользователя и (MD5 хэш пароля) - сравните это с MD5 пароля, который вы сохранили для них.
Ответьте HTTP 200 OK, а тело сообщения или заголовок - токеном аутентификации.
Это дает двоякое преимущество по сравнению с повторной отправкой аутентификационных учетных данных при каждом запросе. Кроме того, снижаются накладные расходы на обработку токена (теперь это просто проверка достоверности - возможно, в хранилище действительных токенов в памяти), а не поиск в БД пользователя и пароля. Вы также уменьшаете количество раз, когда учетные данные отправляются по сети (хотя и шифруются благодаря SSL).
Внедрение контроля доступа на конечных точках ресурсов потребует немного больше работы, но в основном это просто определение того, какие токены могут использоваться с какими ресурсами. Это будет зависеть от вашего сценария.
Надеюсь, что это имеет смысл, и удачи.