Для проверки прав пользователя можно создать декоратор, который будет доставать токен из заголовка запроса и принимать решение о допуске пользователя к эндпоинту. Вот тут может быть что-то покажется интересным в этой связи https://gist.github.com/RomanAVolodin/e2731b303ef8b3c29d1052e82d5a7b36
Для проверки прав пользователя можно создать декоратор, который будет доставать токен из заголовка запроса и принимать решение о допуске пользователя к эндпоинту. Вот тут может быть что-то покажется интересным в этой связи https://gist.github.com/RomanAVolodin/e2731b303ef8b3c29d1052e82d5a7b36