问使用REST验证本地移动应用程序

EN

我即将启动一个新项目，目标是针对所有主要移动平台(iOS、Android )的移动应用程序。它将是一种客户机-服务器架构。

该应用程序既具有信息性，又具有事务性。对于事务性部分，在进行事务之前，它们需要有一个帐户并登录。我对移动开发很陌生，所以我不知道认证部分是如何在这些平台上完成的。客户端将通过REST与服务器进行通信。当然会使用HTTPS。

我还没有决定是希望用户在打开应用程序时登录，还是只在用户执行事务时登录。

我有以下问题：

1)和Facebook应用程序一样，只有在第一次打开应用程序时才输入凭据。在此之后，每次打开应用程序时，您都会自动登录。如何做到这一点？仅仅通过加密和存储设备上的凭据，并在每次应用程序启动时发送它们？

2)我是否需要对向REST发出的每个(事务性)请求进行身份验证，还是使用基于令牌的方法？

请随时建议其他认证方法。

谢谢!