1. как не дать кому-то выполнить запросы POST/PUT/DELETE к записям в которых user_id отличный от того кто выполняет запрос.
2. как сделать дополнительный метод в API например /user/12/messages
3. как сделать префикс для всего API чтоб не так было /user/12 а /api/user/12
4. как через oauth2 организовать доступ по ролям