Варианты: 1) Session: логин создает сессию на сервере, cookie с session_id. 2) JWT: после логина выдается access (и refresh) token, клиент шлет токен в заголовке. 3) API Key: статический ключ для сервис-сервис. 4) OAuth2: делегирование третьей стороне. Безопасность: HTTPS, защита от CSRF для cookie, короткий TTL access token, безопасное хранение refresh/ключей. Rate limiting и блокировка при подозрительной активности.