Bueno, siempre puedes hacer algo así, que imagino que te ayudará.

En la app, para hacer login, enviar los siguientes campos:
usuario,
time,
hash,

Y algun campo más si eso...

Y en hash, que tenga algo asi como sha1(md5("PASSWORD".$time."MY_APP_MOLONA".$usuario )).

Es una encriptación básica, en el servidor checkeas que el time sea más o menos correcto (que no hayan pasado más de X segundos quizás), y compruebas el hash.

Q si, q si no usas SSL es más complicado, pero así almenos dificultas un poco la cosa.