不要用cookies做手机端的auth, 现在一般用OAuth2, 即token authentication。
简单的说流程就是
1. 客户端传登录信息(比如邮箱,密码)到服务器
2. 确认信息正确后,产生access token, 比较普遍的是JWT(JSON Web Token),给一个过期时间,然后传给用户
3. 客户端存着这个access token,每次发请求的时候都要把这个token放到header里面
为什么用这样子的access token是安全的,JWT的好处是什么,网上文章很多,随便贴一个https://stormpath.com/blog/the-ultimate-guide-to-mobile-api-security/