svsanek

1. Если не прошла авторизация, меняйте статус HTTP!!!! Не шлите странице со словами "о боже мой, вы ошиблись" и статус 200, Шли просто ответ со статусом 403 например.
Вообще нужно понимать, что андройд приложение - это не браузер. И данные ему нужно слать как можно более удобные. Самый лучший универсальный вариант - REST сервисы.
Если не понимаешь, как REST работает - посмотри как делают single page application например с помощью angularjs
Либо на courcera есть шикарный курс - про написание бэкэнда для андройд девайсов.
В дополнение к предыдущему ответу
помимо токенов - посмотри еще на remember me.

Вот тут change log https://paste.teknik.io/1010 того, что поменялось в 5.1 относительно 5.0
Вообще я советую твоим друзьям (или тебе) поставить adb и после ошибки выполнить adb logcat > log.txt
После, если сам не поймешь в чем ошибка (в чем я очень сильно сомневаюсь), кинь лог сюда