А в чем проблема реализации конкретно у вас? На стадии авторизации передаем логин и пароль, если все верно, то генерирует токен, далее дергаем апи с данным токеном, проверяя на его актуальность, если все ок, то отдаем данные.
Теория без практики мертва. Поработайте с такими API, как у VK или Twitter. Еще otvet.mail.ru интересно покопать с помощью сниффера Fiddler - этот сайт как раз построен на REST API с JSON. Да и другие сайты многие тоже стоит покопать. Глядишь, поймете, зачем API нужно, и решения перенимете у них хорошие.