Не самый удачный способ выкидывать весь код, который не относится к вопросу.
В идеологии так. У вас одна бд под сессии, соответсвенно вы можете выдернуть информацию о текущем пользователе. На REST API у вас есть x-token, который авторизует пользователя или это session id.
Вы можете этот x-token передать на сайт и если в header он есть, то делаем авторизацию по нему или извлечения данных из сессии.
