Я не знаю, требует ли phonegap, чтобы ключ приложения передавался вместе с токеном сеанса, чтобы они были действительными.Если ключ приложения надежно хранится в коде приложения, то раздача токенов сеанса безопасна.
Но учтите, что локальное хранилище HTML 5 доступно для всех, у кого есть рутированный телефон и который просматривает файлы приложения..
Лучше всего сделать базовое шифрование ключа токена сеанса, если вы хотите, чтобы он был безопасным.