Po pierwsze, aby to było możliwe - użytkownik musi mieć Uwierzytelnianie - o ile dostęp poprzez uwierzytelnienie spowoduje, że dany zasób dla użtykownika jest autoryzowany, jeśli jest autoryzowany to znaczy że ma on do tego dostęp.
Mechanizm tokenów, sesji musisz zaimplementować z określeniem czasu uwierzytelnienia, w czasie trwania sesji - przeglądarka utrzyma dane dla tego "konta-klienta".
Gorzej, że nie chcesz wylogować użytkownika z aplikacji - czyli względnie implementacja mechanizmu sesji i utrzymywania ciasteczek po wylogowywaniu.
Coś z wykorzystaniem
CookieManager.getInstance().setAcceptCookie(true);
// albo coś na zasadzie
CookieManager.getInstance().setAcceptThirdPartyCookies(webView, true);
musisz przeglądnąc dostepne metody i implementacje, oprzeć to na swoim API, bo nie wiem jakie mechanizmy u Ciebie są już zaimplementowane