ну раз нам нужен токен, то можно посылать на /tokens, как раз укладывается в rest
Насколько кошерно создавать виртуальные сущности? У меня просто токен — это:
GET /users/100500 =>
{
"username":"vasya",
"token":"blablabla"
}