Большой вопрос для ответа, и это зависит от того, какой серверной технологии вы используете, и не уверены. Однако я могу описать реализованный мной подход (фон .Net).
Кажется, вы пишете мобильное приложение?
Мобильное приложение сначала сделает идентификатор и пароль для аутентификации, передавая идентификатор и пароль для вашего имени пользователя api, по https, конечно. Часто URL будет что-то вроде
// yourwebsite/Account/Токен
Ваш апи бы проверить пользователя и если все в порядке, проблема является носителем маркера.
Мобильное приложение должно запомнить этот токен и последующие вызовы передать это в заголовке запроса. Именно так сервер будет знать, кто это. Вам больше не нужно отправлять идентификатор пользователя и пароль. И может быть сильный аргумент безопасности для того, чтобы не хранить идентификатор пользователя и пароль на мобильном устройстве вообще.
Теперь ваш код сервера проверяет токен, и вы узнаете, кто и что может сделать пользователь. Обычно токен истекает, поэтому любой мобильный клиент должен проверить это и повторно аутентифицировать, чтобы получить новый токен.
Но как сервер узнает этот токен, к кому он принадлежит?
В мире MVC, например, здесь есть код рамки. Существует много кода шаблона MVC. Если вы, оказывается, работаете .Net api services, см. Это http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
Если вы не являетесь .Net на сервере, я уверен, что вам будет что-то еще, чтобы помочь вам по тем же принципам.
Что касается разработки API RESTful, то ServiceStack заслуживает рассмотрения. Если это слишком дорого, по крайней мере, рассмотрите их подход и бросьте свой собственный (особенно, когда речь заходит об версировании вашего api's).
Я должен использовать PHP на стороне сервера, но на основное сомнение ответили объяснение токена. Спасибо. –