Rails で RESTful な API をつくるときは認証、承認をどうしたらいいの?

Rails で RESTful な API をつくるときは認証、承認をどうしたらいいの?

認証はまぁともかくとして承認の段で

http://example.com/api/sessions/token/resources/show

みたいなのが一般的ですみたいなこと言われて「?」となったのが発端で考えてました。許可証からなんか出てくるわけじゃないだろ的なあれで。

こう?

Rails では簡単にベーシック認証を処理できるので

http://token@example.com/api/resources/show

みたいな感じで

authenticate_or_request_with_http_basic do |user, pass|
  token = user
end

やれるので RESTful 的には美しいんじゃないかと思ったんですが実際のところどうなんだろう。(2 値で認証するなら分けなくていい気がした)

OAuth なんかだと色々アレしてヘッダーに埋め込んでるんだっけ。