Estou com uma dúvida em relação a senha para ser enviada via requisição API, o correto seria enviar ela em plain text ou criar uma criptografia para enviar ela? Vejo muitos sites enviando ela apenas em plain text e eu fico pensando se alguém tiver interceptando os payload pegaria muito fácil essas senhas.
Você vai enviar a senha através de uma requisição HTTPS
Ai só isso já bastaria para proteger a senha do usuário ou necessariamente teria que fazer alguma outra coisa?
Enviar por HTTPS já protege de Man in the Middle. Mas não fique usando a senha plain como authenticação em todos os pontos da api. Envie a senha apenas uma vez e faça o servidor retornar um token, com periodo de expiração que faça sentido para sua aplicação, e use ele para authenticar nos outros pontos.
Veja também formas de se proteger de XSS e CRFS.