В общем правильно все, если приложению необходима супер защита, то с шифрованием при отправке нету смысла заниматься.
Насчет того что делать дальше:
Мое единственное предложение это со стороны сервера генерировать какой нибудь token (ключ), при удачной авторизации, потом этот ключ передавать пользователю на устройство, этот ключ сохранять и все последующие запросы делать с использованием этого ключа. При невалидности этого токена пользователя просо выкидывать.
