Spring boot REST api security для Android-приложения с помощью входа в Google + Facebook

Я создаю приложение с 2 слоями: -

1. Родное Приложение Для Android - содержит возможность входа через Facebook + Google, чтобы сделать вход менее болезненным.

2. Сервер Java с использованием Spring Boot - типичные конечные точки MVC, такие как экраны администрирования REST api + UI.

Facebook (FacebookSdk) и Google (GoogleApiClient) signin части работают и протестированы с использованием следующих зависимостей Android: -

dependencies {
   compile 'com.facebook.android:facebook-android-sdk:4.6.0'
   compile 'com.google.android.gms:play-services-auth:9.0.0'
   ....

}

API-интерфейс мудрые мы имеем: -

/api/signin - вызывается, когда пользователь успешно входит в систему с помощью Facebook + Google и создает запись в users таблицы базы данных.

существует также ряд других конечных точек API, например, предложения

/api/offers/<user_id> - возвращает предложения уже зарегистрированному пользователю.

Я не уверен в лучшей практике, в которой: -

1. как приложение android делает API-вызовы / api / signin конечные точки REST (т. е. какие заголовки и т. д. Можно отправить в то, что я бы предположил, является конечной точкой без залога потому что незарегистрированные пользователи будут поражать этом). Кроме того, какие поля можно сохранить в users таблица db?

2. как приложение android делает API-вызовы, например / api / предложения/ для уже зарегистрированных пользователей? т. е. когда токены etc должны Приложение для Android передать?

3. лучший способ для spring security защитить эти конечные точки.

предполагая, что OAuth 2-это путь, но любые советы / указатели будут наиболее оценены.