У меня есть служба на основе REST, где пользователь может вернуть список своих книг (это личный список).

URL в настоящее время../api/users/{userId}/books

При каждом вызове они также будут предоставлять токен аутентификации, предоставленный ранее.

Мой вопрос (ы):

ПоставляетuserId в избыточном URL? Когда мы получаем токен с каждым вызовом, мы можем узнать, какой пользователь выполняет вызов, и вернуть его список книг.userId строго не требуется.

УдалитuserId нарушать принципы REST как/users/books/ Похоже, он должен вернуть все книги для всех пользователей?

Должен ли я просто укусить пулю и аутентифицировать их на токене, а затем проверить, что токен принадлежит тому жеuserId?