У меня на нескольких проектах было так:
- вводим пару email, пароль
- отправляем серверу
- сервер возвращает токен, по которому все запросы валидируются
- сохраняем токен в приложении и радуемся!
Токен можно отправлять например в header каждого запроса, тут уже надо делать как сервер ожидает.
При запуске можно проверять наличие токена. Сервер может возвращать ошибку авторизации при любом запросе, например, если токен не подходит или устарел
