NameOf Var, "что-то я не нашё MDN упоминания про query параметры" - потому что query параметры не являются какой-то отдельной сущностью, они просто часть URL. А так как любой HTTP запрос имеет такое свойство как URL, то и любой GET/POST/etc... запрос может иметь query parameters.
"Request has body: Yes. Что это значит?" - это значит что у запроса может быть тело. То есть тело в любом случае существует, но по умолчанию оно пустое.
"есть ли какие-то ограничения в спецификации HTTP / REST" - нет, ограничений нету, как минимум потому что спецификации REST нету) Есть куча рекомендаций, куча практик, и один в один они повторяются на самом деле очень редко,
"можем ли мы использовать глаголы в роутингах?" - можете, никто не запретит,
"PATCH /user или лучше PUT /user/password" - зависит от соглашений принятых на конкретном проекте,
"должны ли мы всегда использовать множественное число в названии коллекций?" - зависит только от вас; можете использовать множественное, а можете - единственное.
"надо ли изменить API удаления на /user-management/userS или можно оставить как есть?" - конечно можно оставить.
