Создание PHP API с использованием сессий

Имеем сайт: (например)site.com. Имеем site.com/auth.php в котором мы получаем login/pass методом GET/POST.

site.com будет обращаться к своему же API посредством JS/Angular 2, т.е. та же авторизация будет происходит через обращение http Angular`a на url site.com/auth.php. Так же хочу сделать android приложение для site.com. Android приложение обращается к url site.com/auth.php и проходит авторизацию.

Вопрос: как правильно и безопасно это реализовать? Я в этом не разбираюсь, на данный момент нашел следующую информацию. На сервере генерировать sessid, который потом передавать вместе с каждым запросом. Т.е. сервер уже не передает в заголовках sessid. А только на запрос api в ответе в json например. На сайте angular будет записывать sessid в куки, андроид хранить у себя. Как и где хранить эти sessid на сервере? Что то читал про redis, но не совсем понял, входит ли он в PHP или ставить его надо отдельно, если отдельно, то redis может быть не на каждом виртуальном хостинге?

P.S. Вопросов много, т.к. мало понимаю как решать задачу. По мере понимания, вопросов будет меньше. Жду как ответы, так и критику, правки и ссылки на полезные ресурсы. Благодарю за внимание!