Обычно встречаются два способа подписывать API-запросы, прямо в урл ?token=abc, либо в специальных заголовках к запросу. Я разницы между ними раньше не видел, но сейчас считаю, что с заголовком лучше, так как иначе токен будет лежать в логах веб-сервера и сервера приложения, что в общем случае не хорошо.

Tweet