А в чем проблема с формой? Все так же как и с формой, отправленной с сайта. Тут скорее от используемого фреймворка зависит.
Токен для сессии или для защиты от CSRF?
Для первого мне кажется будет проще куки использовать. Для второго проще специфичный заголовок отправлять, который браузером не отправится и все.
С точки зрения роутинга идеологически правильно использовать REST full, но совсем не обязательно.
