Авторизацию между сервисами в спецификации API обычно описываю с помощью стандартных схем безопасности, поддерживаемых OpenAPI или другими спецификациями. В описании указываю:

Тип авторизации (например, OAuth 2.0, API ключ, JWT)
Место передачи токена (заголовок Authorization, query-параметр и т.п.)
Формат токена и необходимые права (scopes)

Часто использую протоколы:

OAuth 2.0 — для делегированной авторизации с токенами доступа, особенно если сервисы принадлежат разным доменам или организациям.
JWT (JSON Web Token) — для передачи информации о пользователе и правах в зашифрованном виде.
API ключи — для простых случаев, когда нужно идентифицировать сервис без сложной аутентификации.

Пример в OpenAPI:

components:
  securitySchemes:
    bearerAuth:
      type: http
      scheme: bearer
      bearerFormat: JWT
security:
  - bearerAuth: []

Это позволяет клиентам и сервисам понимать, как передавать токены и какие права требуются.

Как вы описываете авторизацию между сервисами в спецификации API? Какие протоколы используете?