Как защитить веб-службу RESTful php с помощью SSL / TLS и / или безопасности на уровне сообщений

У меня есть веб-служба RESTful, написанная на php, которая использует JSON для связи. Некоторые из передаваемых данных действительно конфиденциальны (пароли), и я ищу способ достичь разумного уровня безопасности для службы. Клиент представляет собой приложение silverlight 4.

Я искал четкую информацию о том, как реализовать SSL / TLS (я полагаю, что аутентификация сертификата клиента попадает в эту категорию?) И безопасность на уровне сообщений, но я не могу найти хороших примеров, касающихся фактическая реализация этих мер безопасности в веб-сервисе php + json. Буду очень признателен за любую информацию и практические примеры. Я знаю принципы, просто я не очень разбираюсь в php. В настоящее время единственная мера безопасности, которую я использую, - это очень простая система токенов аутентификации, которая после успешного входа в систему создает сеанс на стороне сервера и предоставляет пользователю токен аутентификации для любого дальнейшего взаимодействия (до тех пор, пока не истечет срок сеанса или пользователь не подключится из другой IP). Я действительно хочу, по крайней мере, защитить конфиденциальный трафик, такой как пароли.

Наконец, какие проблемы безопасности я должен учитывать после внедрения TLS и, возможно, безопасности на уровне сообщений, например, в случае уязвимостей и эксплойтов?

Заранее благодарю.