Эти вопросы относятся к теме аутентификации.
Сам разбирался в ней пару месяцев назад.
Есть несколько схем работы с rest-сервисом. Они кратко описаны в статье
"6 способов: как добавить security для Rest сервис...
Вот они
1) Basic аутентификация.
Стандарт rfc 2617
2) Digest аутентификация.
Стандарт rfc 2617
Добавлю. Изменения при этой схеме, в отличие от 1), коснутся как клиента, так и сервера. Клиент и сервер добавляют случайные значения запросам и ответам, что позволяет устранить уязвимости повторного использования, а также ввести механизм "срока годности" отпечатка логина-пароля.
3) Token Authentication
4) Digital Signature (public/private key pair)
5) Certificate Authentication
6) OAuth 2.0.
Стандарт rfc 6749. В этой схеме есть 4 "режима". Один из них работает, как 3). Какой и когда подходит, хорошо описано в книге
"Getting Started with OAuth 2.0"