При логине на сервере приложению направляется токен, со временем его жизни, заранее определенным настройками сервера (или клиента, если есть желание как то кастомизировать), далее при выполнении POST/GET на сервер приложение оперирует уже этим самым токеном. Кстати, токен может быть и не один, а несколько, и выбираться по некоторому алгоритму, т.ч. перехват токена не даст атакующему возможность его использовать долго, а при использовании невалидного токена он сразу же банится (или все токены пользователя), и нужна повторная авторизация.