А как по вашему авторизация в веб приложениях работает? Ее точно так же можно отловить и скомпрометировать клиента.
1) Используйте https
2) Добавляйте к каждому запросу уникальную подпись
Можно подмешивать в подпись уникальные данные, id девайса, какие то параметры из апи, текущее время, и шифровать это каким нибудь популярным способом.