Wenn Sie an einer API-ähnlichen Implementierung in Ihrer GAE-Instanz interessiert sind, würde ich auf jeden Fall mehr in OAuth schauen. Aber wenn Sie nur an der Validierung von Anmeldeinformationen für diese eine mobile Anwendung interessiert sind, müssen Sie nicht so weit gehen.
Glücklicherweise können Sie Ihre GAE-Instanz über SSL aufrufen, das bedeutet, dass Sie alle Aufgaben des Handshaking und der Verschlüsselung abwickeln können. Dann würde ich einfach entweder http-basic authentication verwenden, oder einfach Benutzer-ID und verschlüsseltes Passwort als Parameter in der Anfrage senden.
Auf dem iPhone gibt es ein KeyChain zum Passwort speichern, vielleicht gibt es ein Android-Gegenstück? Stellen Sie sicher, dass Passwörter verschlüsselt auf dem Gerät und im GAE-Datenspeicher gespeichert werden. Senden Sie das verschlüsselte Passwort bei der Validierung der Zugangsdaten. Sie sollten niemals die Klartextkennwörter Ihres Benutzers kennen. Das würde ein gewisses Maß an Unklarheit bieten, was ich für ausreichend halte (definitiv, wenn es über SSL gesendet wird).
Dann können Sie einfach zurückgeben, ob die Kontoinformationen verifiziert sind oder nicht.