Предполагая, что ваш REST API общедоступен через Интернет, вы должны реализовывать свои защитные меры так же, как вы защищаетесь от DOS-атаки на веб-сайт .В этом подходе не будет большой разницы, учитывая, что ваша служба RESTful (очень вероятно) реализована с использованием HTTP / HTTPS в качестве основного транспорта приложения.