Tengo un servicio basado en REST donde un usuario puede devolver una lista de sus propios libros (esta es una lista privada).

La URL está actualmente../api/users/{userId}/books

Con cada llamada, también proporcionarán un token de autenticación proporcionado anteriormente.

Mi pregunta es:

Está suministrando eluserId en la URL redundante? A medida que recibimos un token con cada llamada, podemos averiguar qué usuario está realizando la llamada y devolver su lista de libros. losuserId no es estrictamente requerido

Quitaría eluserId romper los principios REST como/users/books/ parece que debería devolver todos los libros para todos los usuarios?

¿Debo morder la bala y autenticarlos contra el token y luego verificar que el token pertenece al mismouserId?