Ответ 1
Сама аутентификация должна выполняться без апатридов, так что парадигма REST не будет нарушена. Это означает, что аутентификация должна выполняться по каждому запросу. этот вопрос SO может предоставить некоторые дополнительные сведения
метод esiest использует HTTP-Basic AUTH (rfc2617) через SSL-шифрованные соединения (https). вот несколько примеров java:
другой метод использует nonces, так что вам не нужно повторно отправлять комманду user/pass каждый раз, но они немного сложнее:
существует множество способов аутентификации пользователей, но эти 2 наиболее часто используются, которые не хранят состояние сеанса на стороне сервера.
надеюсь, что это помогло