Tengo una API RESTful. Hay dos formas de autenticarse: un modelo centrado en el usuario / contraseña y OAuth2.
Aunque los usuarios autenticados por usuario / contraseña pueden realizar solicitudes a este punto final de API específico, se rechazan en el código de vista de Django. Solo los clientes que se hayan autenticado a través de OAuth2 y tengan permisos para acceder a este recurso pueden realizar cambios o ver datos.
Otro software de servidor que realiza POST a este punto final, sobre el cual no tengo control, no es compatible con tokens CSRF.
¿Existen riesgos de seguridad al exponer puntos finales como este? Me imagino que no hay, ya que un usuario web no puede hacer nada más que el código de activación que los rechazará. ¿Necesito precauciones adicionales?
Gracias