Дмитрий Снегирев

Для авторизации Devise (если хотите гибче - можете сразу Warden взять)
Для разграничения полномочий CanCan.
Все это уже давным-давно проверено на практике.

Делали на php + mysql - получилось как то не очень.
Переделали на node.js + socket.io + redis + mysql (история) - стало заметно лучше.

Посмотрите в сторону Ruby и в частности Rails. Существует специальный гем(библиотека), который позволяет использовать фреймворк исключительно в роли API. Rails по-умолчанию RESTful, так что с этим проблем не будет.