0) Этап авторизации по паролю и логину верный.
1) Как я понимаю, в файле хранится токен аутентификации. Это должен быть результат хеш-функции взятый, допустим из соли+email юзера. (Пароля там точно не должен быть).
2) Токен должен быть уникальным и длинным. Удостовериться в уникальности можно простыми запросами к базе на этапе генерации.
3) Токен стоит хранить не в файле, а в базе, в той же таблице что и другие данные юзеров.
4) Как передаётся токен - не понятно. Надо просто саму строку токена передавать в заголовке запросов и в сервере на этапе аутентификации оттуда вытаскивать и находить в базе юзера по токену.
5) С локал-стораджем на клиенте проблем быть не должно для такой задачи, если я всё верно понимаю. Просто сохранять/брать значение тогда, когда это нужно.