Egyértelműen token. Oauthtal generálsz tokent, amit aztán egy JWT payloadjában utaztatsz, a requestet pedig aláírod a user jelszavából a szerveroldallal azonos módon képzett hash-sel.
A tokent ha nagyon akarod lementheted, de a jelszót úgyis csak memóriában tartod, ha a telefon idegen kézbe kerül, a token önmagában értéktelen. Az egész nagyon hasonló a certes megoldáshoz, viszont a transport layertől független, így könnyen hordozható megoldásod lesz, amely tetszőleges böngészőben is futtatható akár, nem vagy mobilhoz kötve.