Stai mescolando due diversi argomenti: Autenticazione e Autorizzazione .
L'autenticazione è l'atto di confermare la verità di un attributo di un singolo dato rivendicato vero da un'entità o come identificazione, che si riferisce all'atto di affermare o altrimenti indicare un'affermazione che presumibilmente attesta l'identità di una persona o di una cosa, essendo l'autenticazione il processo di conferma effettiva di tale identità.
Questo risponde alla domanda: chi sei?
L'autorizzazione è la funzione di specificare il controllo di accesso che applica i diritti a una risorsa. Più formalmente, "autorizzare" è definire un criterio di accesso.
Questo aspetto risponde alla domanda: cosa puoi fare con questa risorsa?
Come puoi vedere, per fare la fase di Autorizzazione devi prima fare l'Autenticazione.
Ad esempio, al momento sono autenticato in questo sito ma non sono autorizzato a eliminare la domanda. Questo perché ho trasmesso per la prima volta la fase di autenticazione - quindi il sito sa chi sono - e quando ho avuto accesso alla tua domanda, il sito sa che non ho diritti di amministratore, quindi non mi consentirà di eliminare le domande. - Fase di autorizzazione.
Nel tuo scenario
Come API REST, avrai qualche forma di autenticazione. Devi scegliere da solo, ma alla fine hai un utente autenticato - o Principale . Per ulteriori informazioni sull'autenticazione dell'API REST, consulta la discussione su StackOverflow .
Con le informazioni dell'utente autenticato - che puoi estrarre dalla richiesta http - tutto ciò che devi fare è controllare se l'utente autenticato ha l'autorizzazione a fare ciò che sta richiedendo. Nel tuo caso, controlla se è l'autore della risorsa che sta provando a GET .