Токен представляет собой некий код доступа, который высылается пользователю при авторизации (если на сайте нет авторизации, то тоже в принципе можно), самый распространенный пример:
В течение сессии любое взаимодействие с сервером сопровождается токеном, иначе действие будет запрещено.
В Вашем случае необходимо добавить в Ваш секретный скрипт проверку токена, если пришедшее значение актуально для текущего пользователя, тогда выполнить то что там должно выполняться, если же пришло инвалидное значение либо пусто (как если бы кто-то обратился к скрипту напрямую) - запретить.