Preciso gravar e depois recuperar alguns dados extras do usuário, e para isso criei uma nova entidade.
Minhas dúvida é: Há alguma maneira de trabalhar com esses dados sem informar o ID/Email na API? O Master Data consegue relacionar os dados ao usuário logado?
Não tem relação alguma você adicionar dados no MASTER DATA com o usuário estar logado ou não, afinal você pode criar uma entidade para uma função sem ter relação alguma dados do usuário.
Resumindo, se você quer relacionar, sempre vai precisar informar o email, não há como ser automático.
@Nathan Prestes Estou testando uma Wishlist customizada na loja, então criei uma entidade Wishlist, com os campos produto_id e o user_id, veja as imagens abaixo.
Mas dessa forma, se eu souber o id de outro usuário, estando logado com meu usuário, conseguiria acessar os dados de outro, pois a procura por documentos está sendo baseada no user_id. Ainda não testei acessar os dados de outro user_id, mas teoricamente, seria possível, correto? Há como bloquear isso?
Em tese poderia, porém você pode bloquear fazendo um middleware onde você envia uma informação e ele retornaria apenas os produtos, mas até que ponto vale isso?
Sinceramente, não vejo nenhum problema se um usuário ver os produtos favoritos de outro usuário.