1) это правильный способ ведения дел?скажем .. логин пользователя, получать его входящие сообщения и т. д. через REST?
Я бы не сказал, что есть «правильный» путь, но есть несколько способов, каждый со своими плюсами и минусами.Без дополнительных подробностей это звучит так, как будто вы на правильном пути.
2) как безопасно общаться?так что если кто-то, кто знает URL, может атаковать сервисы.
На самом деле единственный способ - использовать HTTPS.URL-адреса общедоступны через Интернет, что позволяет людям атаковать их.Это не сильно отличается от любого другого сайта / сервиса, REST или SOAP.Я не знаю, есть ли способ действительно заблокировать трафик только на устройства, возможно, зарегистрировать идентификатор устройства и требовать его при каждом запросе?Это все еще не останавливает атаку, но может быть простым способом уменьшить часть шума.