Als Ergänzung zur Antwort oben:
Das Token wird üblicherweise über einen sogenannten STS (Security Token Service) ausgestellt, und in der Web-Welt werden hierfür dann sogenannte JWT (JSON Web Tokens) verwendet.
Infos zu JWT's findest Du hier:
http://jwt.io/
Welcher Nutzer es ist, wird in sogenannten 'Claims' in das Token geschrieben, und kann dann vom Programm ausgewertet werden.
So ein JWT kann auch mit einer Ablaufzeit versehen werden.
Damit Dir niemand ein gefälschtes/verändertes Token unterjubelt können die JWTs signiert werden, so kann Dein Programm durch prüfen der Signatur sicherstellen, dass das Token auch nicht manipuliert wurde, und kann sich auf die Angaben in dem Token verlassen.