问与服务器解决方案的安全通信

EN

我目前正面临安全服务器通信的问题。我是一个移动开发人员，我尝试设计REST (JSON输出)。为了理解这个问题，让我向您展示我的应用程序中的一个流程：

1. 第一次登录应用程序
2. 然后可以下载一些个人信息
3. 当用户在应用程序中移动时，我希望始终与服务器进行通信。

所以我认为登录和密码将通过SSL发送(对吗？)不对?这是第一个问题，也许我应该选择OAuth?)，然后呢？我接收登录和密码，并将其存储到我的密钥链中，任何其他服务都应该对所有用户开放吗？我认为这个SSL在第一次请求gime只是表面上的安全，而不是真正的安全。

让我带你看看我目前为止的休息：

登录：

请求：

https://mywebsiteforrest.com/getin

在这里我加入了标题username=root&password=pass

响应：

{
   "status":100, /*This status tell me that everything is OK */
   "userKey":"432fdsf732fds7fstsw87frd7s5fd",
   "timestamp":1378651048,
   "userId: 342
}

稍后的请求：

请求：

https://mywebsiteforrest.com/getmydata

在这里我加入了标题userId=342&key=432fdsf732fds7fstsw87frd7s5fd

或者我应该这样问：https://mywebsiteforrest.com/getmydata/342&key=432fdsf732fds7fstsw87frd7s5fd？

我寻求的建议是安全的，或者它是(如我之前所说的)表面上的安全。我知道你讨厌这个问题，但是-怎么做才是正确的？