Если это API то в запросе следует передавать токен (например в заголовке: "Authorization: Bearer токен") а по нему однозначно идентифицировать пользователя. Например вы можете рассмотреть схему JWT.
Если же нет то пользователь обычно идентифицируется при помощи сессии.