Estoy escribiendo una aplicación Rails 4 que expondrá una API para una aplicación móvil que aún no se ha desarrollado. Los usuarios se autenticarán utilizando un correo electrónico y una contraseña de la aplicación móvil.

Si bien he encontrado bastante información sobre el tema. Es difícil discernir qué es anticuado o no es óptimo. He leído sobre la autenticación básica HTTP, que no parece demasiado segura, y la autenticación basada en token HTTP, pero no estoy seguro de cómo acoplar eso con la autenticación regular de correo electrónico y contraseña (estoy usando Devise por la manera).

Solo me gustaría saber cuál es la mejor práctica actual sobre cómo implementar esto, así que me aseguraré de ir por el camino correcto.