Как лучше защитить данные через HTTPS

Моя цель - создать приложение (iOS), в котором пользователь будет входить в систему, а затем при успешном входе в систему получать доступ к дополнительной информации через зашифрованный веб-сервис (не определено).

Из исследований я понял методы шифрования обмена ключами Диффи-Хеллмана и "подписи" с использованием HMAC с секретным ключом (от Диффи-Хеллмана).

Дальнейшие исследования привели меня к HTTPS, чтобы гарантировать отсутствие прослушивания.

Однако теперь я немного сбит с толку относительно того, что мне нужно было бы сделать через соединение HTTPS, чтобы гарантировать, что данные для входа защищены между приложением и сервером.

1) Достаточно ли безопасности HTTPS для передачи данных POST "имя пользователя" и "пароль" по линии на сервер самостоятельно? или потребуется дополнительная защита, такая как хэш пароля?

или же

2, мне нужно было бы реализовать полный обмен ключами + подпись запроса (и в какой-то момент токен доступа) через соединение HTTPS?

Я не уверен, где провести черту с шифрованием.