Estoy tratando de construir una API RESTful con restify.js, pero no quiero exponer la API a todos. Y voy a usar autenticación basada en token. El proceso en mi mente es así, no estoy seguro de si es razonable.

el usuario envía un nombre de usuario / contraseña a una api para adquirir el token.

este token debe incluirse en la solicitud de las llamadas de todas las demás API.

Si esto es razonable, ¿hay alguna biblioteca node.js que pueda usar?

Además, ¿cómo protejo el token? Si alguien intercepta una solicitud http con el token, esa persona obtendrá el url de API y el token. Entonces él puede enviar la solicitud como quiera. Hay alguna manera de evitar esto?

¡Muchas gracias!