Leider bietet OpenStreetMap noch nicht die Möglichkeit mit der API über eine gesicherte SSL-Schnittstelle zu kommunizieren. Damit die Login-Daten nicht im Klartext übertragen werden müssen, bietet es sich an, OpenAuth einzurichten.
Bei OpenAuth muß die Client-Anwendung nicht die Login-Daten selbst wissen. Stattdessen wird auf openstreetmap.org – Seite der Anwendung ein Art Token/Cookie zur Verfügung gestellt. Damit ist es einem Angreifer zwar immer noch möglich, die API zu benutzen, aber immerhin werden die Login-Daten nicht offengelegt. Zu jedem Token lassen sich außerdem noch Berechtigungen definieren.
Mit der standardmäßigen automatischen Einrichtung vergibt openstreetmap.org zwar offenbar die Token, allerdings wird die Antwort von JOSM nicht erkannt. Die Lösung ist stattdessn die halbautomatische Einrichtung auszuwählen, die einen Browser-Aufruf benötigt.