Как я понимаю, при использовании сервисов REST мы рассчитываем на URI для запроса данных, и поэтому в сервисе аутентификации нам нужно будет отправить имя пользователя и пароль через URL, что плохо, я что-то здесь упускаю?
Ваша служба аутентификации должна быть POST, которая будет держать учетные данные вне URL. Пока служба работает по протоколу HTTPS (верно?), Вы защищены от посторонних глаз.
Если вы не хотите добавлять данные в URL, вы также можете отправить сообщение в службу REST.