Possiedo un set di API REST e alcune di esse non richiedono l'autenticazione degli utenti.
L'esempio potrebbe essere: api/items/index di un e-commerce ".
Attualmente utilizzo i token basati su cookie dalla mia applicazione, ma solo per l'API sicura come l'edizione di un elemento: api/items/2/edit per esempio.
Cosa potrebbe impedire a chiunque di rintracciare dalla propria applicazione l'URL diretto corrispondente (diciamo https://myAppDomain/api/items/index e ottenuto tutti gli elementi come un puro elenco di JSON?
In effetti, potrebbe portare al phishing ...