En cada llamada a mi API REST, solicito a los clientes que pasen el token de acceso a Facebook del usuario, que autentica al usuario. ¿Cuál es la mejor práctica para pasar este token?

Tal vez como un parámetro detrás del signo de interrogación HTTP

GET /api/users/123/profile?access_token=pq8pgHWX95bLZCML

o de alguna manera en el encabezado de la solicitud, de manera similar a la autenticación básica HTTP

tal vez una tercera opcion? (He excluido pasarlo en un JSON porque quiero que se pase el tokenGET llamadas también, así que JSON no cabría allí, creo)