При каждом вызове моего REST API я требую, чтобы клиенты передавали пользователяs токен доступа к Facebook, который аутентифицирует пользователя. Какие'Лучшая практика для передачи этого токена?

может быть, в качестве параметра за вопросительным знаком HTTP

GET /api/users/123/profile?access_token=pq8pgHWX95bLZCML

или как-то в заголовке запроса, аналогично базовой аутентификации HTTP

может быть третий вариант? (Я'исключил передачу его в формате JSON, потому что я хочу, чтобы токен был передан вGET звонит, так что JSON не будетя думаю, что это не подходит