На сколько я понял, логика работы здесь следующая:
В качестве токена в X-ZUMO-AUTH используется
JSON web token, который формируется из 3 составляющих, среди которых:
- id пользователя
- master key мобильного сервиса
(
подробнее)
Таким образом, сессия на стороне Custom API не создается. Пользователь проверяется только по корректности токена. После проверки Азур прокидывает id пользователя из токена в обработчик запроса (в request.user).
Соответственно проверку на существование пользователя с данным id приходится реализовывать вручную для каждого метода АПИ (например: оформить отдельным модулем в папке shared и подключать его в каждом методе АПИ)