у тебя есть файл/база:
user_id
username
password
----
user_id
token
юзер ввел правильный данные, сервер сгенерировал рандомную строку ( token ) и отдал юзеру
теперь с каждым запросом юзер отправляет заголовок Authorization: тут_токен
сервер по токену определяет от какого юзера пришел запрос
как альтернатива токену - есть еще JWT
