Bonjour,
Si tu parles des tokens d'accès, le principe (version simplifiée) est le suivant.
Etape 1:
L'utilisateur se connecte à un site avec un identifiant et un mot de passe
Le serveur du site vérifie son profil (ce que l'utilisateur a le droit de faire sur le site), et renvoie un token au navigateur de l'utilisateur (le client).
Etape 2:
L'utilisateur cherche à utiliser une partie du site sécurisée. Le client envoie au serveur le token qui va servir de preuve comme quoi l'utilisateur s'est bien identifié/authentifié au préalable.
Ceci évite que l'utilisateur se re-identifie/authentifie à chaque fois, et évite aussi de transmettre l'identifiant et le mot de passe de l'utilisateur à chaque fois. Par ailleurs les tokens peuvent avoir une durée de vie limitée et/ou un nombre d'utilisation limité.
Il y a éventuellement des mécanismes plus compliqués.
L'utilisation des tokens va souvent de pair avec l'utilisation du protocole OAuth 2.0. Il y a trois étapes au lieu de deux.
Etape 1:
L'utilisateur se connecte à un site avec un identifiant et un mot de passe
Le serveur vérifie son profil (ce que l'utilisateur a le droit de faire sur le site), et renvoie un token dit "authorization grant" au client .
Etape 2:
L'utilisateur cherche à utiliser une partie du site sécurisée (plus généralement, on parle de ressource). Le client envoie une demande d'autorisation à un service d'autorisation installé sur le serveur, en fournissant le token "authorization grant" préalablement récupéré par le client. Le service renvoie au client un token dit "access token" qui va permettre à ce client d'accéder à la ressource.
Etape 3
Le client accède à la ressource en présentant son token d'accès.
Voir par exemple
https://zestedesavoir.com/articles/1616/comprendre-oauth-2-0-par-lexemple/
Ces notions sont liées au concept de SSO (single sign on). Le principe est que l'utilisateur s'identifie/authentifie une seule fois en début de session, le client et et le serveur discutant ensuite entre eux pour permettre à l'utilisateur d'accéder à des ressources variées qui ont des systèmes d'accès divers.
Concernant Ajax, j'imagine que ce que tu as lu permettait de renforcer la sécurité d'une requête ajax en transmettant un token avec cette requête. Ceci étant, ce n'est pas obligation d'utiliser un token avec ajax. Tout dépend de ce que tu fais.
Amicalement,