Tengo un conjunto de API REST y algunas de ellas no requieren que los usuarios estén autenticados.
El ejemplo podría ser: api/items/index de un comercio electrónico ".
Actualmente, utilizo tokens basados en cookies de mi aplicación, pero solo para la API segura como la edición de un elemento: api/items/2/edit por ejemplo.
¿Qué podría impedir que alguien realice un seguimiento desde su propia aplicación de la URL directa correspondiente (digamos https://myAppDomain/api/items/index y obtuvo todos los elementos como una lista pura de JSON?
De hecho, podría ser conducido a phishing ...