Безопасная аутентификация с помощью GWT и GAE через https?

Я хочу реализовать собственную систему аутентификации пользователей в моем приложении appengine. Я не хочу использовать сеансы. Я новичок в этой области, поэтому у меня есть два основных вопроса:

1: Безопасно ли просто отправлять имя пользователя и пароль с каждым RPC через https? Что мне нужно сделать, чтобы сохранить это имя пользователя и пароль на стороне клиента?

2: Как мне сказать GWT использовать https при отправке запросов?

Я мало что знаю о безопасности, поэтому, пожалуйста, не избавляйтесь от «очевидных» деталей.

Спасибо!