php & amp; Android, как предотвратить человека в середине

Мы работаем над мобильным приложением, которое использует некоторые веб-сервисы в качестве бэкенда для сервисов БД и других сервисов. Мы используем парольный подход для каждого пользователя, чтобы другие не могли подключиться к нашим услугам. Мой вопрос заключается в том, нужно ли нам внедрять систему на основе токенов для предотвращения атаки «человек посередине»? или используя https …. или что лучше. И если да, то какая библиотека или фреймворк могут нам помочь?
Теперь мы защищаем нашу функцию

if (password_verify($userPass, $hashedPass))
{
return true;
}else
{
return false;
}