Вы просто хотите безопасный вход или безопасное взаимодействие между клиентом и сервером?
Если вы хотите получить безопасный вход, я бы порекомендовал вам передать ваше имя пользователя и пароль. HTTPS на сервер. На серверной стороне вы проверяете его, и если он в порядке, вы отвечаете на токен сеанса и файл cookie сеанса. Для остальных взаимодействий вы отправляете свой sessoin-cookie, чтобы идентифицировать себя. Когда пользователь отключит приложение и снова запустит его, вы проверите дату истечения срока годности маркера, если он все еще vaild отправляет маркер на сервер вместо имени пользователя + пароль (снова HTTPS), чтобы получить новый файл cookie сеанса.
Таким образом, вам не нужно передавать свои пользовательские данные все время, и пользователю не нужно входить в систему при каждом запуске приложения. Вы также можете добиться этого, если будете хранить имя пользователя и пароль на телефоне, но это очень плохая практика. Если вы хотите абсолютно безопасное соединение между клиентом и сервером (например, для платежей и прочее), вы должны сделать все это с помощью HTTPS.
В основном вы используете стандартные веб-технологии. Этот способ справиться с этим называется Token-Authentication.