К примеру, есть блог, пользователь заходит на страницу авторизации, заполняет форму, отправляется POST запрос с логином и паролем в формате json, сервер пробегается по базе, если есть такой пользователь формирует сессионный токен и отравляет его обратно пользователю, дальше пользователь делает GET запрос с этим токеном, вопрос в том как БЕЗОПАСНО передать токен обратно на сервер в GET запросе?
А какая разница в каком виде вы храните и отправляете ключ то по сути? От злых глаз на фронте вы ничего не спрячите, все что вы отдали браузеру - можно считать открытым по умолчанию. С помощью просто снифера любой школьник получит и POST и GET без проблем.
Определите что значит "безопасно".
Начните с SSL, чтобы никто третий не увидел
Передавайте так чтобы в истории не было - куки и заголовки
Сделайте токену ограничение по сроку жизни. Или сделайте его одноразовым.
Привяжите к IP.
Проверьте referrer.
И кучу других способов, все зависят от того что вы подразумеваете под словом "безопасно". А то может быть что и ответ - никак.
