SirotaKazansky

Я думаю не обязательно управлять доступом на уровне доступа к HTTP методам. У Вас есть контроллер, который может определить можно ли пользователю делать конкретное действие, на основе сертификатов, токенов, чего-либо еще.

Правильный ли это подход или нет, зависит от двух вещей как минимум - отражает ли он адекватно модель данных, можно ли этим пользоваться конечному пользователю без ущерба для психики. Например не надо сначала собрать кучу данных, чтобы получить доступ к сущности.

RESTful это то что соответствует ограничениям REST, никто не обязывает Вас использовать HTTP, какие-то форматы URL, методы HTTP, json или XML. Можете хоть на почтовых голубях сообщения отправлять в формате русского матерного, и сделать на их базе RESTful API