Il token è semplicemente una convenienza per non fare passare di continuo utente e password "sul filo", specie perché se l'autenticazione è fatta bene dovrebbe essere un challenge-response di qualche tipo e che quindi richiede più richieste e un minimo di stato (il server manda un nonce, il client manda hash(hash(password) + nonce), il server verifica se è coerente con quello che sa e restituisce un token valido in questo caso). Se non ci si pone il problema di mandare in giro di continuo le credenziali ci si può riautenticare ad ogni richiesta, senza che questo sia per l'applicazione in sé un problema di sicurezza.