RESTful API с мультиарендностью и общими ресурсами

Сосредоточение внимания на дизайне структур URL-адресов на самом деле недопустимо для архитектур RESTful. Рой Филдинг:

REST API не должен определять фиксированные имена ресурсов или иерархии (очевидная связь клиента и сервера).

См. Также этот ответ.

Для вашей конкретной проблемы я бы вернул список (в основном произвольных) гипертекстовых ссылок на проекты, к которым у пользователя есть доступ. Ссылки будут содержать атрибуты, дающие понять, принадлежит ли проект «пользователю» или «доступен» он. Чтобы улучшить читаемость, вы можете оформить URL-адреса ресурсов как

http://example.com/user/{user id}
http://example.com/project/{project id}

Представление пользователя после http://example.com/user/2 GET будет содержать список ссылок вроде

<a href="http://example.com/project/1" class="owned"/>
<a href="http://example.com/project/2" class="access-permitted"/>

Принцип HATEOAS является неотъемлемой частью REST и делает большинство вопросов «как создать свои URI» устаревшими :

Принцип заключается в том, что клиент взаимодействует с сетевым приложением полностью через гипермедиа, динамически предоставляемую серверами приложений. Клиенту REST не требуются предварительные знания о том, как взаимодействовать с каким-либо конкретным приложением или сервером, помимо общего понимания гипермедиа.