1. У пользователя есть обычно идентификатор, который улетает в токен в кукисах на клиенте, чтобы стыковать его в интерфейсе и не заставлять на каждый пук входить.
2. При обращении на вьюхе (универсальной для всех) можно спокойно выдавать пользователю только его информацию, его реляционные связи по его идентификатору. Это как бы основа любой нормально морды, как минимум на уровне регистрации, замены пароля.
Отличие от, скажем, Вконаткика, будет только в том, что ты не будешь выводить общую информацию, доступную для всех. А ключ к ответу → идентификатор пользователя и его связи.
