Zufarro,
в общем случае да.
https://learn.javascript.ru/xhr-crossdomain
Если бы владельцы API предполагали такой запрос, то добавили бы заголовок ответа для кроссдомена. Или, на худой конец, jsonp.
Но этот их токен подразумевается секретным и персональным, и как следствие запросов с клиента быть не должно. Потому и расклады такие.