La mejor y más segura forma de hacer un protocolo de autenticación entre el servicio web Restfull y el cliente Android

La mejor manera, como es principalmente el caso, es usar TLS. Entonces, simplemente puede iniciar sesión con nombre de usuario / contraseña. Además de la autenticación, es probable que también desee proteger las solicitudes y respuestas. No es frecuente que solo tenga que protegerse contra la escucha sola, en la mayoría de los casos también son posibles ataques activos (por ejemplo, cuando se utilizan conexiones WiFi inseguras).

También puedes echar un vistazo al protocolo SRP , pero eso podría ser más complicado si no lo eres. Bien informado sobre la criptografía. Además de eso, no proporciona una solución completa.

La combinación de clave pública-privada (algoritmo RSA) puede considerarse para la primera comunicación. La clave pública que se transferirá de la aplicación Java (servicio de descanso / API) a la aplicación móvil. El dispositivo móvil ahora tiene que pasar uid / pwd encriptado por la clave pública. Una vez que la solicitud llegue a la aplicación / API de Java, mediante el uso de una clave privada, la API descifrará la fecha y la validará. En una validación exitosa, la API generará una clave de cifrado única (SHA-256 es una buena opción) y se enviará de vuelta al dispositivo. Además, toda la comunicación se cifrará y descifrará mediante el uso de esta clave de cifrado.