Токен-аутентификация с помощью PHP для мобильных устройств

Я пишу приложение для iPhone, которое должно стать мобильной версией моего сайта.

Я намерен использовать некоторый REST API, чтобы приложение могло обновлять данные пользователя.

Я не хочу, чтобы пользователь каждый раз входил в систему, но я хочу сохранить его токен/куки и использовать его повторно для всех будущих запросов.

Я могу настроить случайный токен и передавать его вместе с ID пользователя, но это не очень безопасно, так как к нему легко получить доступ на взломанном устройстве. Я не могу ограничить его с помощью IP, поскольку IP, вероятно, будет часто меняться (поскольку это мобильное устройство).

Как лучше всего реализовать такую аутентификацию, которая будет достаточно безопасной, но не будет раздражать пользователя частыми запросами на аутентификацию?