是这样的，本人想用html/css/js来做一个Android的Hybrid APP，用的是Cordova来包装。
至于Server方面则是PHP。

我想用Token来替代Session来判断用户的登录状态，因为完全就是个小白，第一次接触Token，不清楚流程。
我的问题将（括号）起来

我的设想是这样：

1. 用户点击登录后，用Ajax发送用户名和密码到Server，判断用户信息无误后php生成一个Token（怎么生成？需要拿用户信息来生成吗？需不需要加密？怎么加密？）。

2. 然后生成的Token存在数据库，再把Token传回给用户APP（用什么传，JSON安全吗，怎么确保Token不被截取，或截取了也没办法干什么坏事），并储存在APP本地。

3. 登录后跳转到新的页面，新的页面一开始就会Ajax发送存在本地的用户名和Token，如果Token和数据库的不相同就会被取消登录状态，跳转回登录页面。（Token需不需要一段时间更新一次，还是待到用户下一次登录的时候才更新？如果需要更新，那么推荐的更新间隔时长是多久？）

4. 用户的每个会与Server进行沟通的操作都要进行Token验证【如第三步】。（需不需要每个操作都验证，这样会不会照常Server和Database的负担，最重要的是用户APP方面效率会不会很差？）

希望有人帮帮我这个小白，网上搜寻了很多都找不到我想要的答案。。。