Отправка имени пользователя и пароля в каждом запросе невелика.
Вы можете использовать все, что хотите, для отправки файлов cookie.Это просто еще один заголовок HTTP.Но возникает вопрос о том, что в печенье.Это зависит от того, какова ваша клиент / серверная архитектура.Веб-приложения используют сеансовые ключи, потому что традиционно веб-клиенты не имеют никакого состояния, поэтому сервер приложений должен был.У нативных клиентов могут быть все виды состояний, и, как правило, для этого не требуется сервер.
Но вам нужна аутентификация.Вот для чего нужны вещи типа OAuth и OAuth 2 .Они позволяют вам аутентифицироваться один раз, а затем использовать токены, которые могут быть признаны недействительными на стороне сервера.Вроде как очень долго живущие сеансы без данных.
Они немного сложны, но есть библиотеки с открытым исходным кодом для серверной и клиентской частей, или вы можете свернуть свои собственные.Большая сложность заключается в получении оригинального токена, который вы можете замкнуть, если у вас есть клиент и сервер.OAuth может быть довольно сложным, потому что все запросы подписываются секретным токеном.OAuth 2 может быть таким же простым, как и общий секретный ключ (таким образом, требующий SSL) в файле cookie.