Solucionado
Pessoal minha dúvida é a seguinte, se usamos o Access-Control-Allow-Origin para proteger a API, como funciona essa API que são liberadas apenas com TOKEN?
Na requisição ajax ele envia o TOKEN junto e após validar o TOKEN é liberado o acesso para o ip do usuario(https://www.api.com.br/get?token=xxx), ai validando o TOKEN a aplicação adiciona o Access-Control-Allow-Origin para o ip daquele usuário, é isso?
A implementação neste caso pode ser de diversas formas para autorizar uma requisição. A maioria das vezes quando se utiliza o esquema de tokens, a autorização é feita através da troca de chaves, e não necessariamente pelo Control-Allow-Origin.
Afim de que possa ficar mais claro, pesquise sobre OAuth2 que é o padrão de autorização mais utilizado atualmente, outra forma é o Basic Auth no Header.
Show de bola! Obrigado!