http://nordicapis.com/token-design-better-api-architecture/
看了这篇大概也有几种做法
条条大路通罗马，取决于你设计。
我个人倾向先决定好商业模式和UI UX
再决定什么技术和架构
及基本物件的类型。
说到这我觉得原po给的问题太发散
有些api本来就是给人打来用
若特殊厂商需要使用
我们甚至要求对称式金钥才能使用
（现在大部分是非对称，从server端发token)
哪一种金钥技术有他的使用和方法
结论，要什么方法设计，还是要看你的商业模式。