一直想不明白APP登陆的逻辑。求各位大神解释。

1. APP登陆于WEB登陆的差别在哪。是否也用session
2. 如果用session 那那些登陆一次就一直在线的APP，是用重新登陆的逻辑吗？那如果用重新登陆的逻辑，是保存用户名密码这种，是不是很不安全。
3. 如果不用session。那是用oauth获取完token后，就一直能调用接口么？那是不是只有状态，那是不是不点退出登陆，只要拿到用户的token，谁都能一直调用用户的各种操作和拿到用户的信息？

好吧 有咩有成熟方案的博文？