Per risolvere le tue problematiche devi fare in modo che tutti i meccanismi di login e check session avvengano via https, per evitare appunto che qualcuno si metta di mezzo e spii i pacchetti tra client e server. Se ricordi, facebook stesso passo all'https appunto per evitare questi problemi e costrinse tutti i produttori di app per il social network di fare attrettanto. Per il resto, hai solo da usare il protocollo cosi come descritto nelle specifiche. Sinceramente, nel tuo contesto non vedo perche tu non debba conservare il sistema proprietario di login ma passare ad oauth: tale protocollo consente di avere un owner singolo delle informazioni dell'utente, e tramite tocken consentire a programmi terzi di accedere a tali informazioni. Nel tuo caso mi sembra di capire che ci sia solo il tuo applicativo, accedibile anche da smartphone tramite apposita app, ma parliamo sempre dello stesso prodotto e nella tua app gli utenti sempre username e password dovranno mettere per farsi riconoscere dal sistema remoto.

Valuta te