Diegiwg pergunta muito boa! Eu não sei qual o padrão e aqui no TabNews ainda não passamos por isso, mas quase passamos:
A rota /api/v1/recovery serve para você iniciar um fluxo de recuperação de senha, onde você pode passar para ela por POST tanto o seu email quanto o seu username, onde você deve passar essas informações por propriedades com nomes diferentes (ou email, ou username), pois assim foi mais fácil fazer esses valores passarem por uma validação inicial separadamente.
O código fonte do Controller está aqui:
Se a gente aceitasse tudo na mesma propriedade, por exemplo input ou by como você colocou na sua publicação, do jeito que a gente arquitetou a validação no TabNews, não ficaria fácil validar sinteticamente o valor. Mas daria também para fazer, bastasse conseguir identificar o que de fato era o valor ali dentro da string, extrair o "tipo", e daí validar de acordo.