[请教]开放第三方 API 操作涉及具体用户，是否必须维护 session 或 token

现状

• 内部系统
• 平台方和接入方用户信息同步
• 接入方通过类似租户的方式，注册在平台方，从平台方获取 appid 和 appSecret 作为合法性
• 每次请求使用 secret 加密和签名参数

问题

因为目前没有 session 和 token 的机制，所以无法辨别调用者的具体身份。
但是几乎每个操作都涉及用户身份判断，主要是鉴权，例如判断用户是否有权限处理这个信息，目前的做法是让调用方传入用户的 id 作为唯一凭证（因为双方用户是同步的）。
请教一下，这样做符合规范或者说合理吗。
如果想维持现状，不维护 session 和 token ，应该怎么做呢？