Cara, muito bacana sua API. Mas seria interessante delegar as regras de negócio da Controller para uma camada de Service. E deixar a controller apenas com a responsabilidade de receber e retornar as requisições HTTP.

Também seria de muita valia desenvolver mais a parte de testes, pode ser unitários para garantir que novas features não estraguem o que já está em funcionamento