Tengo un servicio REST en mi servidor web, escrito en php. Me preguntaba, cuál sería la mejor autenticación (además de la autenticación básica de acceso http). He oído hablar de la autenticación basada en tokens y me gustaría preguntar si alguien podría explicar los pasos principales.

En un OBTENER: ¿Se puede ver el envío del token? (¿no es inseguro?)¿Cómo hago que el token solo sea válido por un tiempo específico? ...

Cliente: Android / Navegador; Servidor: Apache, PHP5