Как защитить REST API для мобильных приложений?

Я пытаюсь добавить интерфейс REST к Django для мобильного клиента. Мобильный клиент будет использовать JSON поверх HTTPS. Мне не удалось найти «лучший» способ сделать это для мобильных устройств. Судя по поиску, кажется, что №2 лучше №1:

1. Использовать HTTP-аутентификацию и установить сеанс на основе файлов cookie. Все транзакции будут происходить через HTTP, а сообщения JSON будут содержать только команды или данные.
2. Передайте имя пользователя и пароль (в зашифрованном виде) в каждом сообщении JSON для всех транзакций и не полагайтесь на сеансы на основе файлов cookie.