Web服务 – 基于用户查看权限的不同的REST资源内容

Excluding private data in RESTful response

但是我不同意接受的答案，其中声明您应该提供/people.xml和/unauthenticated/people.xml，因为我对REST的理解是，特定的资源应该存在于特定位置，而不是几个依赖关于你感兴趣的信息量。

我正在设计的系统比那个更复杂。假设用户创建了一些朋友圈子，并为其分配了不同的访问权限。例如，我的“熟人”圈子可能会访问我的生日，而我的“专业”圈子可能会访问我的就业历史，而不是相反。为了应用我提到的问题的答案，我需要一种方法来获取所有的用户圈子(我可能希望为安全起见保密)，然后通过/ circles / a / users / 42 ，/ circles / b / users / 42，/ circles / c / users / 42等等，然后合并结果以显示最大可用信息量。显然，没有一个单一的圈子可以获得任何其他圈子获得的所有信息。我相信这很棘手(请注意，我可能需要使用几种对象来做到这一点，未来版本可能需要不同的过程)，但是如果我想对特定用户强加安全限制，尽管他也是在我的一些圈子里这个问题甚至可以解决吗？即使我拒绝回应任何上述的查询，并提出一个可以给我答案的新的查询，它仍然会揭示出这一特定用户由于个人访问限制而受到不同的对待。

我在这里缺少什么？我甚至可以开发一个RESTful Web服务？

如果结论是行为不是RESTful的，那么这仍然构成了破坏REST合同在道德上是可行的情况吗？如果是这样，有什么负面影响？我有风险代理缓存问题吗？