Как обрабатывать аутентификацию в PHP REST web service?

Я читал, что хороший способ написать веб-сервисы, которые будут использоваться из мобильных приложений, - это избегать SOAP (слишком подробного) и использовать REST ; во многих примерах REST я видел, что лучше избегать сеансов из-за природы REST без сохранения состояния ... но как я могу обеспечить безопасность при вызове моего веб-сервиса? Я хотел бы сделать вызов «входа в систему», а затем передать session_id / токен следующему вызову веб-службы ... Как я могу это сделать?