Модель аутентификации для приложения Android

Я собираюсь построить систему, которая имеет 2 части: 1. PHP сайт (CakePhp). 2. Мобильное приложение (Android & iPhone).

Пользователь должен войти в систему с помощью USR & PWD, чтобы использовать мою систему (веб и мобильное приложение). Но у меня нет большого опыта с аутентификацией пользователя. Что я должен хранить: usr & pwd, строка токена. Я хочу найти «модель аутентификации пользователя» для моей системы (веб и мобильное приложение).

Есть ли у кого-либо опыт аутентификации пользователя. Кто-нибудь знает, как это реализовать?