手机客户端和服务器通信时如何安全高效的进行身份验证

在网站开发过程中，要进行身份验证，大多数时候我们才用服务器端的session和客户端的cookie来进行。在用户登陆的过程中，服务器生成对应的session保存在服务器中，浏览器保存cookie记录用户信息，下次进行交互时直接使用两者来进行身份辨别。

而在移动端对于一个已经登陆的用户来说，服务器如何进行身份识别呢？不考虑存在session或者cookie的情况。如果客户端每次请求都发送用户名密码，可能不太安全，同时服务器也必须每次都对其进行验证。这种方法很显然不可取。

或者用户登陆后服务器生成一个token发给客户端，客户端每次请求携带用户id和token，服务器检验id和token是否对应从而进行身份认证，但这样似乎又不安全，只要知道id和token后就可以和服务器进行通信了。

还想到一点，方法同上，只是生成的token中记录用户信息以及失效时间，这样就不需要每次请求加上用户id了，服务器得到请求后检查token值并检查是否有效和是否过期，一切正常后返回请求。