android - 验证对服务器的后续应用程序请求

我面临的问题是如何验证用户和后续用户请求作为有效或无效的用户请求？

注册用户时第一次输入将保存在服务器上的电子邮件和密码

现在，从现在开始，有两种不同的情况：

用户重新安装应用
- 现在他不会注册，只能通过输入他之前提供的电子邮件密码再次登录，并且如果凭据正确，将会通过身份验证true状态将以用户ID发回。
验证后续请求（通常的应用程序功能）： 现在，通过应用程序发出的每个请求都需要进行身份验证必须将某些内容与请求数据一起发送以识别用户，这将是什么？
- 用户名＆amp;密码：
- 无法发送用户名密码，因为由于安全问题，我不会在设备中保存密码。
- 登录时发出的令牌[GUID]
- 我会在设备中保存该令牌？ SharedPreferences？
- 无法解码存储在SharedPreferences中的应用和现成数据？
- 理想情况下，令牌有效期应该是什么？
- 有人告诉我在执行此操作时我还需要使用devieId吗？但我不确定如何以及在哪里。而且我发现在姜饼释放之前DeviceId不是唯一的吗？

这是一个非常基本的事情，每个应用程序必须面对并在这种情况下工作，所以没有标准，事实模式或正式编写的框架这样做？你们刚刚实现了自己的方式吗？

理想情况下，我正在为移动设备寻找类似The definitive guide to form based website authentication的内容。