Buenas,

Mi consejo es que no trates de reinventar la rueda haciendo tu propio mecanismo, sobre todo si no tienes grandes conocimientos (y das a entender que al menos sobre la creacion de apis REST no tienes muchos).
Lo primero que hay que saber sobre la seguridad es que 'security is hard'. Incluso grandes empresas como Google, Ms u Oracle, que tienen empleados a los mejores ingenieros de seguridad del mundo, tienes numerosos problemas todos los dias. No podemos pretender ser mas listos que ellos.

Bueno, al grano, que me disperso. Mis consejos para el tipo de proyecto que presentas:
-Autenticacion: basic http
-Autorizacion: seguir un protocolo como Oauth de intercambio de signatures: http://hueniverse.com/oauth/

Por ultimo, deberias seguir siempre los buenos consejos de OWASP:
https://www.owasp.org/index.php/REST...ty_Cheat_Sheet

Con todo esto tendrias una seguridad decente para tu API.

Si no utilizas HTTPS siempre podrias ser objetivo de ataques de tipo 'man in the middle' y en teoria alguien con conocimientos, medios y motivacion suficiente podria capturar la informacion y hacer 'replay'. Sin embargo para un proyecto familiar y pequeno como el que comentas considero que utilizar https es completamente overkilling.


Un saludo