不要用cookies做手机端的auth, 现在一般用OAuth2， 即token authentication。
简单的说流程就是
1. 客户端传登录信息（比如邮箱，密码）到服务器
2. 确认信息正确后，产生access token, 比较普遍的是JWT（JSON Web Token)，给一个过期时间，然后传给用户
3. 客户端存着这个access token，每次发请求的时候都要把这个token放到header里面

为什么用这样子的access token是安全的，JWT的好处是什么，网上文章很多，随便贴一个https://stormpath.com/blog/the-ultimate-guide-to-mobile-api-security/