Ну вообще говоря REST подразумевает отсутствие состояния - каждый запрос должен содержатб информацию, идентифицирующую пользователя (basic ,digest auth). Т.е. ваше клиентское приложение КАЖДЫЙ РАЗ вставляет в хидер запроса фаутентиикационные данны (логин/пароль), а приложение по этим данным "поднимает" пользователя из БД и возвразает релуьтат/запрещает доступ в зависимости от роли.
Второй варинат - использовать token-based аутентификацию/авторизацию (смотрите OAuth, JWT (JSON Web Tokens))
Третий вариант - использовать куки, и возможоно в вашей случае это будет оправдано. Если у вас оба клиента работают на том же домене/поддомене, то с кукой всё получится достаточно просто