Sp1rtwork

Вопрос сформулирован так как будто вы еще и не знаете зачем он вам вообще понадобился) В двух словах токен это некая последовательность достаточно уникальная, чтобы ее было трудно угадать. На сервисе должна быть функция аля Авторизация(логин пароль) или что у вас в нем используется, эта функция должна проверить корректность пользователя и если он корректный сгенерить ему некий Токен, для этого можно например использовать объект GUID или просто MD5 от некой достаточно уникальной строки. Этот токен возвращается при авторизации и сохраняется где то в БД, далее при обращении к сервису вместо пары логин\пароль отправляется этот токен и идет проверка уже не по логину или паролю а по наличию токена в БД. Соответственно если на каком то токене идет подозрительная активность его можно удалить из БД тем самым "заблокировав" токен, но не пользователя.

Не уверен что сессии нужны.
А токен нужен, после логина на андроиде, по токену ходят за серверным апи.

читать
https://www.jetbrains.com/idea/help/restful-webser...
https://www.jetbrains.com/idea/docs/Web_Services_w...
java.dzone.com/articles/jersey-rest-service-api
смотреть
www.youtube.com/watch?v=D3nnjmK1GwE

Если на другом конце уже есть приложение - то в чем вопрос то? Frontend вам не нужен - frontend это ваше андроид-приложение.

Почитайте официальную документацию с примерами на developer.android.com. Пример http-запросов

Для начала поставить Android Studio
Проще всего через WebView, наверно придется еще включить GPS и отправлять координаты на сервер.