Se alcune risorse su una RESTful api devono essere protette, possiamo farlo usando OAuth per esempio, e poi se non ci sono token sulle intestazioni della richiesta (cioè nessuna identità) restituiamo un codice di stato 401, e se ci viene restituita qualche rappresentazione.
Il mio dubbio è il seguente: considerando l'identità di chi sta richiedendo la risorsa (in particolare sto pensando di usare l'identità basata sulle attestazioni), è giusto restituire una rappresentazione della risorsa che cambia con l'identità?
Quindi, ad esempio, per una richiesta da parte di qualcuno con un determinato insieme di attestazioni, restituiamo una rappresentazione contenente un insieme di dati e una serie di collegamenti. Se la richiesta proviene da qualcuno con un altro insieme di clausole, l'insieme di dati cambia e quindi i collegamenti. Se qualcuno non ha identità di sorta, restituiamo anche un'altra rappresentazione. Quindi fondamentalmente controlliamo chi può vedere e può fare cosa con ciascuna risorsa.
È qualcosa di utile da fare, o c'è qualche problema che non vedo?