Хотя я не разрабатывал для Android, я могу предложить вам просто использовать некоторую схему аутентификации без сохранения состояния, такую как HTTP Basic или Digest.Это означает, что учетные данные будут передаваться при каждом запросе, и вы избегаете необходимости отслеживать состояние, что означает, что вы можете поддерживать хороший API и RESTful.
Я подозреваю, что если бы писал приложение для Androidв большинстве случаев я, вероятно, сначала попытался бы установить связь, работающую с чем-то, по крайней мере, неопределенно RESTful, используя HTTP Basic auth и кодировку JSON (только потому, что PHP делает (де) сериализацию JSON настолько легкой).
Конечно, в зависимости от вашей проблемной области, это может быть не идеально, но сначала стоит попробовать хорошую архитектуру, потому что она довольно проста во всем.Если вам это не удастся, вы можете вернуться и начать заменять детали, пока не найдете правильную архитектуру.