Не вижу противоречий

И.е. я могу от чужого имени выполнять запросы к серверу,к которому у меня не должно быть доступа, и это считается нормой?

Ну и.е. могу например в адресной строке браузера вбить команду, указать параметры, оно там что-то сделает, возьму например и удалю какой-нибудь объект по его id.

Наверное имеется ввиду, что логин и пароль передаются при запросе

Сессия, насколько я помню, это немного другое

Там сперва запрос на авторизацию, потом с сервера приходят какие-то данные (id вроде бы какой-то), браузер их сам куда-то записывает и шлет при каждом запросе

Это как я примерно помню

Представим что это некая железка которая сама утром по расписанию запускается и запускает приложение.
Пусть будет для простототы понимания инету информационный терминал.
Из таких может быть много.
Т.е. каждый запуск он запрашивает свой id и подставляет в параметры.
Что мешает мне подставить в параметры это-то id - ничего.
Может я просто пытаюсь смешать 2 разных функциональности - с одной стороны принимать запросы и отправлять ответы, с другой стороны авторизация.
В оригинальном вопросе я ещё упоминал некий токен, который клиент будет передавать... который будет получен от сервера:
"... клиент должен обратится к серверу используя свой ID например, а дальнейшие его запросы каким образом будут определяться как авторизованные (token, session id)?"

"Что мешает мне подставить в параметры это-то id - ничего"

Вы - это кто?
Если под вами имеется ввиду злоумышленник, то он ведь не знает id.

Ну там все по http - там все слушается открыто 😁

Там - это где?

В сети где будет стоять этот софт

Ну и сам софт без шифрования (пока по крайней мере)

В 2021 юзать http... Че так сложно https завести чтоли?

Тогда и логин с паролем небезопасно передавать

Да само собой...
Я просто видимо чего-то дурного хочу 😆

Ладно хер с ней с этой rest..

Я вообще не понял, чего вы хотите

Вы хотите rest или хотите не rest?

Фигню какую-то... 😣