Я пишу приложение для iPhone, чтобы быть мобильной версией моего сайта.

Я намереваюсь представить некоторые REST API, чтобы приложение могло обновлять данные пользователя.

Я не хочу, чтобы пользователь каждый раз входил в систему, но я хочу сохранить свой токен / cookie и повторно использовать его для всех будущих запросов.

Я могу установить случайный токен и передать его вместе с идентификатором пользователя, но он не очень безопасен, так как к нему легко получить доступ на взломанном устройстве. Я не могу ограничить его с помощью IP, так как IP, вероятно, будет часто меняться (так как это мобильное устройство).

Каков наилучший способ реализовать такую аутентификацию, которая будет достаточно безопасной, но не будет раздражать пользователя, часто прося его аутентифицировать себя?