Cita:
Iniciado por Eleazan 
Bueno, siempre puedes hacer algo así, que imagino que te ayudará.
En la app, para hacer login, enviar los siguientes campos:
usuario,
time,
hash,
Y algun campo más si eso...
Y en hash, que tenga algo asi como sha1(md5("PASSWORD".$time."MY_APP_MOLONA".$usuario )).
Es una encriptación básica, en el servidor checkeas que el time sea más o menos correcto (que no hayan pasado más de X segundos quizás), y compruebas el hash.
Q si, q si no usas SSL es más complicado, pero así almenos dificultas un poco la cosa.
Gracias por la respuesta, pero sigo con dudas (lento de mente que es uno).
Tu consejo es, que en el primer login, que podemos suponer que si es desde una máquina nueva no tenemos la Key privada, usemos el password y el timestamp para generar una cadena encriptada y una vez verificado, ya que tenemos el password en nuestra base de datos, devolver la Key privada y en las siguientes peticiones sí usarla para generar el hash. ¿Lo he entendido bien?