1. Сам не встречал, но предположу, что для виджетов каких-нибудь норм будет.
2. Рест, конечно же, пишут на серве. А клиент хоть баба яга, не должно рест сервис волновать. Если только специально запрещать.
3. п.2
4.5. нет. протокол аутентификации можешь любой выдумать. Достаточно того, что бы он был стейтлесс.
Вообще зря смешиваешь рест как клиент и сервер одновременно. Рест только сервер.
