Вопрос сформулирован так как будто вы еще и не знаете зачем он вам вообще понадобился) В двух словах токен это некая последовательность достаточно уникальная, чтобы ее было трудно угадать. На сервисе должна быть функция аля Авторизация(логин пароль) или что у вас в нем используется, эта функция должна проверить корректность пользователя и если он корректный сгенерить ему некий Токен, для этого можно например использовать объект GUID или просто MD5 от некой достаточно уникальной строки. Этот токен возвращается при авторизации и сохраняется где то в БД, далее при обращении к сервису вместо пары логин\пароль отправляется этот токен и идет проверка уже не по логину или паролю а по наличию токена в БД. Соответственно если на каком то токене идет подозрительная активность его можно удалить из БД тем самым "заблокировав" токен, но не пользователя.
