Как сделать нормальную авторизацию в API?

Question

[Lexxtor]

Есть REST API, надо сделать аутентификацию. Думаю так:
Юзер присылает логин и пароль, ему дают токен.
Далее, он с каждым запросом к API присылает этот токен.
Вроде как в GET параметре плохо его передавать, так как он в логах сохранится. Больше минусов нет?

В чем суть HTTP Bearer token?
Он выглядит так:
Authorization: Bearer 12312313212313
Иногда, вместо "12312313212313" передается длинная строка, в которой, как я понял, зашифрованы роль пользователя и всякие параметры. То есть теоритически хакер может расшифровать токен, поменять роль и зашифровать обратно. Так ли это?