Acho que a seção Authentication do guia Connecting to VTEX Core Commerce APIs dá uma luz inicial nesse tema. Basicamente, apps rodando no VTEX IO conseguem obter:
- App tokens com
ctx.authToken - Store user tokens com
ctx.vtex.storeUserAuthToken - Admin user tokens com
ctx.vtex.adminUserAuthToken
Estes tokens devem ser passados pelo header VtexIdclientAutCookie para o request ser autenticado por eles. As permissões vinculadas serão aquelas descritas pelas policies do app ou pelo perfil de acesso do usuário.
Se você quiser fazer um request para uma API REST da sua máquina, usando o Postman por exemplo, você pode rodar vtex local token na VTEX IO CLI e usar esse mesmo header. Só deve lembrar que, ao contrário de app key e app token padrão, esses tokens expiram após um tempo.