Как делаем мы:

1. Авторизация в приложении: все запросы к сайту только с использованием защищённого соединения (SSL 3.0).
2. После сравнения пары логин/пароль, все запросы верифицированы ключом доступа (пароль больше нигде не передаётся).
3. Сервер обращается к сайту только с использованием защищённого соединения (SSL 3.0).
4. Проекты хранятся на серверах Амазон (Алибаба для Китая). Файлы скачиваются по ссылке (https) с дополнительной авторизацией по ключу доступа (время жизни ключа 2 минуты). Файлы хранятся в обезличенной форме, без ссылки на владельца.
5. Приложение обменивается данными с сервером двумя способами: REST API (защита SSL 3.0), iRidium protocol (с версии 1.2.3 - шифрование AES-256 включено по умолчанию).
6. Права доступа авторизованного пользователя к серверу определяются в проекте и обеспечивается через создание hash-ключей через доверенный центр (наш сайт).