В 1с будет http-сервис, к методам которым нужна авторизация по токену.
Вопрос можно ли это сделать штатными средствами без "прослоек"?

Т.е. в начале прошли авторизацию по логин/паролю отдали токен со временем жизни. Обращение ко всем остальным методам идет уже по токену.

Ну так в запросе его и передавай.
Первый запрос GET /?login&user=vasya&password=durak
в ответ - токен
а дальше
GET /?GiveMeASecret&token=<токен>

Не указал выше: полученный токен передаётся во все другие методы по схеме Bearer.

(1) НУ в схеме 1С каждый раз нужно авторизоваться с логином паролем. (0) Не прокатит наверно, только через прослойку типа срипта на ПХП.

(2) Ну хорошо, отдавай его не запросе, а в заголовке. Придумай заголовок, например X-MyToken и пусть клиент отдает его в каждый метод. А на сервере будешь проверять время этого токена.

Наколхозить можно по разному, особенно если между 1с делать. Но тут требуется сделать токен авторизацию и отказаться от Basic схемы.
Похоже так и придется делать через "прослойку"