Ho un'API RESTful. Esistono due modi per autenticarsi: un modello utente / basato su password e OAuth2.
Sebbene gli utenti con autenticazione utente / password possano effettuare richieste a questo specifico endpoint API, vengono rifiutati nel codice vista Django. Solo i client che sono stati autenticati tramite OAuth2 e dispongono delle autorizzazioni per accedere a questa risorsa possono apportare modifiche o visualizzare dati.
Altri software server che i POST di questo endpoint - su cui non ho alcun controllo - non supportano i token CSRF.
Ci sono rischi per la sicurezza nell'esporre punti finali come questo? Immagino che non ci sia, dal momento che un utente web non può fare nulla di più del codice di trigger che li rifiuterà. Ho bisogno di ulteriori precauzioni?
Grazie