Я далек от разработки под Android, но могу посоветовать использовать
JWT.
После предоставления пользователем логина и пароля отдаете ему 2 токена:
access_token и
refresh_token.
С помощью access_token пользователь взаимодействует с вашими API, а с помощью refresh_token Вы предоставляете ему возможность обновить данную пару токенов.
