Wer an das Passwort will, kommt dran und bekommt es auch im Klartext. Über sowas würde ich mir gar nicht erst den Kopf zerbrechen. Den ultimativen Schutz gibt es nicht und wenn doch, wird er Millionen von Euros kosten.

Könnte man die REST-Schnittstele erweitern, bzw. ergänzen ?
So das z.B. mit festem Passwort kommt man nur auf eine Authorisierungs-Seite,
und von da kannst du z.B. Zertifikate, Token, etc. austauschen ?

Erst im 2. Schritt kommt man dann auf die richtige REST-Schittstelle.

Das könntest du deine Sicherheits-Stufe nach Belieben selber bestimmen (2FA, OAuth, etc.).