通过Token进行登陆验证，用户登陆后获取到服务器返回的token，将Token保存在SharedPerences中，则每次用户请求时带着Token，则不需要带上用户名。
关于Token过期的问题，设置Login拦截器，若发送请求，返回了info（客户端与服务器约定好），若info==300，则Token过期，则此时可发送广播使页面跳转到登陆页面进行重新登陆，重新获取Token，也可以客户端后台自动获取Token，这样就可以永久无需登陆了（其实也可以使Session不过期），其实Token过期指的是用户不使用客户端的时间。

Token 中要有有效期信息，有效期过期前要刷新Token 保证Token 不过期。如果Token过期了，重新执行获取Token 操作。如果是通过 basic 认证执行的，不用 Token 只发用户名 ，随便放哪吧，反正哪都不安全。