Ich habe einen REST-basierten Service, bei dem ein Benutzer eine Liste seiner eigenen Bücher zurückgeben kann (dies ist eine private Liste).

Die URL ist derzeit../api/users/{userId}/books

Mit jedem Aufruf wird auch ein früher bereitgestelltes Authentifizierungstoken bereitgestellt.

Meine Frage (n) lautet:

Liefert dasuserId in der URL redundant? Wenn wir bei jedem Anruf ein Token erhalten, können wir herausfinden, welcher Benutzer den Anruf durchführt, und die Liste der Bücher zurückgeben. DasuserId ist nicht unbedingt erforderlich.

Würde das @ entfernuserId break REST-Prinzipien als/users/books/ sollte es anscheinend alle Bücher für alle Benutzer zurückgeben?

Sollte ich nur die Kugel beißen und sie anhand des Tokens authentifizieren und dann prüfen, ob der Token zum selben @ gehöuserId?