Sono un completo noob sulla sicurezza, quindi per favore, perdonami se dico qualcosa di sbagliato.
Devo sviluppare un social network. Il client sarà un'app per Android e (probabilmente) una pagina Web per smartphone che utilizzerà un'API REST. A causa delle caratteristiche del social network, se le informazioni di un utente vengono rubate, non è molto importante, ma devo identificare ogni utente tramite login username / password e devo essere sicuro che ogni messaggio provenga dall'utente legittimo .
Non voglio usare SSL (TLS) perché non ho molte risorse, quindi non voglio soffrire la latenza di SSL e non voglio pagare il certificato. Quindi, sarebbe una buona idea usare OAuth per proteggere l'API REST? Ci sono approcci migliori?