Например, как это реализовано у ВКонтакте. Посетитель авторизуется на основном сайте. Для выполнения запросов к api он получает токен – хэш от его id, иногда ip адреса или подсети, «секрета» самого ВК, «секрета» приложения. С любым запросом к api идёт этот хэш, который гарантирует только то, что запрос пришёл от имени такого-то пользователя (и с валидного IP, а не «вдруг» с другого континента).
Кроме этого, при запросе вычисляется хэш от параметров запроса и «секрета» приложения. Это позволяет убедиться в том, что параметры запроса не подделаны в клиенте – т.к. «секрет» приложения не покидает серверов и не попадает в клиент.