Krótko mówiąc: musisz udostępnić mechanizm logowania po stronie systemu RESTowego. Czy wykorzystasz tutaj sesje, czy nie, nie ma większego znaczenia (w znaczeniu zabezpieczenia serwera, natomiast ma znaczenie jeśli chodzi o bezpieczeństwo i skalowalność). Frontend, ma być tylko ułatwieniem dla końcowego użytkownika pozwalając na wygodne manipulowanie danymi. Co nie zmienia faktu, że również powinien być zabezpieczony przed możliwością wykradzenia wrażliwych danych (session cookie, jwt itd), wstrzyknięcia Js czy ataków typu Csrf.
REST ma to do siebie, że nie dba o to czy żądanie wysyła twoja strona, postman czy aplikacja mobilna. Więc powinieneś zaimplementować i zabezpieczyć mechanizm logowania po stronie RESTa, oraz po stronie frontendu.