Существует множество способов пройти аутентификацию пользователя в REST GET - поскольку у вас нет тела (поскольку это GET), вы можете передать что-то в URL, например: / myWebService / GetAllUser? Token = some-encrypted-token-или-guid
или вы можете передать что-то в заголовки;использовать куки и т.д. Многое зависит от клиента.
Токен строки запроса может быть самым простым вариантом?