На самом деле все просто, есть конечно разные подходы, библиотеки ─ OAuth 2.0, OAuthи тд ... но это не всегда нужно
если упрощая, то сервер просто шлет при авторизации токен (просто строка, время жизни токена и прочая логика на совести сервера)
Каждый запрос приложения к серверу подписан этим токеном, тут есть варианты ─ кто то его в хедере пишет, кто то просто как параметр передает ....
Вполне жизнеспособный вариант, дешево и сердито )