Как бы я мог вернуть идентификатор сессии мобильному пользователю, проходящему аутентификацию через JSON?

Хост приложения: MVC3 и SQL Server. Мобильная платформа: Android.

Пожалуйста, скажите мне, если это полный неправильный подход. Я предполагаю какой-то процесс аутентификации через событие HTTP Post. В результате (в случае успеха) возвращается идентификатор сеанса, поэтому пользователь может вызывать другие безопасные методы.

Примечание. Контроллеры, база данных и ответы JSON уже работают небезопасным образом. Мне просто нужно добавить безопасность.

Если процесс для этого уже есть, пожалуйста, дайте мне знать. Я не хочу изобретать велосипед.

Спасибо за любую помощь.