У меня вопрос: могу ли я спроектировать и протестировать его, как если бы оно было обычным приложением, и только позже добавить все необходимое для обеспечения его безопасности? Или я должен проверить это через SSL с самого начала.
Если под whatever is necessary to make it secure вы имеете в виду enable ssl, то конечно, дерзайте. Но если для обеспечения безопасности требуются другие вещи, такие как аутентификация, авторизация, доступ на основе ролей и прочее, то нет. Общепринятое мнение заключается в том, чтобы включить безопасность на всех этапах разработки, поскольку в конце нельзя просто «включить» ее. Большинство проблем при реализации защищенной системы с богатым набором элементов управления доступом не возникнет у вас, если вы на самом деле не тестируете основную функциональность, хотя ограничены этими элементами управления, а также у вас есть возможность протестировать «счастливый путь» и "несчастный путь" через код.