Службы REST по определению не должны иметь состояние сеанса.
Создание метода «authenticate», который принимает учетные данные и возвращает «токен».Тогда все другие сервисные методы должны принять этот токен как один из его параметров и проверить, что он хорош и не устарел.
Проверьте OAuth как стандартный отраслевой протокол для этого.Существует несколько сторонних библиотек для публикации и использования служб OAuth.