аутентификация на основе токенов в php

У меня есть служба REST на моем веб-сервере, написанная на php. Мне было интересно, какая аутентификация будет лучшей (помимо базовой аутентификации HTTP-доступа). Я слышал об аутентификации на основе токенов и хотел бы спросить, может ли кто-нибудь объяснить основные шаги.

• В GET: виден ли отправленный токен? (разве это не небезопасно?)
• Как сделать токен действительным только в течение определенного времени?
• ...

Клиент: Android / Браузер; Сервер: Apache, PHP5