Eu tenho um serviço baseado em REST em que um usuário pode retornar uma lista de seus próprios livros (esta é uma lista particular).

O URL está atualmente../api/users/{userId}/books

Com cada chamada, eles também fornecerão um token de autenticação fornecido anteriormente.

Minha (s) pergunta (s) é:

Está fornecendo ouserId no URL redundante? À medida que obtemos um token a cada chamada, podemos descobrir qual usuário está realizando a chamada e retornar sua lista de livros. ouserId não é estritamente necessário.

Removendo ouserId quebrar os princípios REST como/users/books/ parece que deve retornar todos os livros para todos os usuários?

Devo apenas morder o marcador e autenticá-los no token e depois verificar se o token pertence ao mesmouserId?