Api 身份验证后保护资源端点的方法

所以，我已经设置好了/auth端点。我使用由API密钥签名的Nonce编码的HMAC对客户端进行身份验证。现在，我不能完全确定我是否理解如何保护API中的其余资源端点

一旦客户机经过身份验证，我是否应该创建一个身份验证令牌（对客户机公钥+nonce进行散列），然后将其存储在数据库中，然后在每个api请求（对于其他端点）中对请求客户机的公钥和nonce进行散列，并比较两者

或者，我应该在身份验证后生成一些身份验证令牌，并将其发送到客户端并存储，然后要求它们将其与每个请求一起发送回去并进行比较

此外，我的计划是在每次请求之前获得一个nonce。这似乎过分了吗

如果您能帮助解释如何从这里开始，我们将不胜感激