PHPSESSID与android中的sending user/pass

我是Android/Java编程新手，我遇到了一个问题，我必须使用PHP会话让用户登录（持久登录），这有一组方法，使用httpclient cookie或SharedReferences，它让我想到了这个解决方案，而不是使用会话

1-使用HTTPs使用后端登录用户，这只会在用户第一次登录时发生，我正在使用的应用程序需要一次性登录，并且没有注销机制。安装应用程序后，将通过短信发送用户名和密码

2-如果用户存在，则在SharedReferences中保存用户/通行证（此处可以是令牌）

3-每当用户需要从后端发送内容时，通过HTTPs发送user/pass，如果user/pass（此处可能是令牌）正确，后端将进行回复

我的问题是，您认为在每个请求中检查用户/通行证或令牌的开销是个坏主意吗

---

我问这个问题的原因是PHP会话ID通过检查包含会话变量的文件来使用相同的方法，该文件看起来与根据DB检查用户/通行证或令牌所导致的开销相同。

我认为没有太大区别，我实际上要做的是创建一个令牌，它包含一个用salt加密的用户标识符，这样你就可以在登录时验证凭据，然后在会话期间使用该令牌，然后你就可以在PHP上轻松地检索用户并做任何需要做的事情。我不建议每次都传递user/pass，这会增加查询的复杂性和凭证被盗的风险。关于会议。。。我从来没有因为移动设备客户端调用基于REST的服务而将其弄糟过，因为我看不出有什么需要，我想这取决于该服务的功能。

您是在使用会话还是在每个请求中发送令牌？对于每个请求，在会话中，您都必须在每个请求中添加cookie。