Как защитить данные в приложении?

Всё в кучу -> разные огромные темы Аутентификация, Шифрование, Спам, РеверсИнжиниринг ....

Доступ к вашему АPI решается путем Аутентификации, регистрацией, как вы там сделаете безопасность в этапах регистрации это уже другой вопрос. Но это стандартная практика которая используется во многих API, не думаю что необходимо что-то новое придумывать.

Те ваш ответ это 3-й пункт, он получил токен и будет по нему ходить, ведь он прошел Регистрацию у вас, те он обычный пользователь вашей API и вы его идентифицируете, вот только если он потом может написать спам бота и рассылать отзывы, или как-то заDOSить вас, это уже брешь в самой API, Серваках и так далее, нужно смотреть.

нельзя 100% защититься.
но можно усложнить жизнь, чтобы взлом не стоил конечной цели. Чтобы обойти MiTM атаку можно сделать https + пининг сертификатов.