移动app可以考虑自签名ssl证书。ssl pinning保证请求安全。除非反编译源码，否则几乎为0的可能性伪造请求。

update：

看到这问题又被顶上来了，忍不住更新一下回答。

首先，把问题细分化看。

假设情景1 - App请求内容为公共内容（例如：新闻列表、文章列表、发布评论(假设评论不需要登录)）：
如上的回答，自签名SSL（所谓的自签名目的是节省那一年几十或几百、几千块的证书费用）即可。

假设情景2 - App请求内容为私有内容（比如网银、内部客户端等需要用户登录）：
1.登录，获取用户唯一证书（每次登陆都生成新的证书，覆盖已有证书）
2.App端请求携带该用户唯一证书请求