Autenticação e segurança em serviços REST

Olá pessoal,
Sou novo na parada aqui… e queria uma luz dos mestres na seguinte dúvida:

Pretendo disponibilizar um web service que terá como cliente dispositivos moveis através de uma app android.
E o outro cliente seria um web site que disponibilizaria paginas para consulta, cadastros e alteração dos mesmos. Ou seja um outro projeto web aproveitando toda a logica já implementada no projeto que detém o serviço REST.
Então a dúvida é : para o projeto Web cliente o usuário terá que fazer login se quiser alterar seus dados cadastrais, isso é obvio. Só que os dados para verificação de login estarão no servidor onde se encontra serviço REST. Então como enviarei esses dados (xml ou Json) com informações de login e senha, seja no ato do cadastro ou no próprio ato de logar, para serem validados de forma segura?

A ideia de se ter um projeto Web cliente (site) seria a possibilidade de explorar outras linguagens, um vez que o serviço principal seria em Java, e também não ficar preso ao mesmo servidor.

Andei lendo algumas discussões sobre rest e o tema “estado do serviço” me chamou atenção. Liguei isso ao meu projeto da seguinte maneira: os dispositivos moveis farão apenas GET.
já os usuários do web site farão GET, POST, PUT e DELETE . Sendo assim um usuário do web site poderá está modificando os dados ao mesmo tempo ou segundos depois que a app android fez uma requisição estando agora com dados desatualizados. Como contorna isso?

Desde de já agradeço os eventuais comentários construtivista que venham a surgir.