Когда есть вызов между микросервисом и вызовом микросервиса, нет необходимости в защите csrf. CSRF - это проблема только браузеров (и приложений, встраивающих браузер, например, веб-представление в мобильное приложение), поэтому нет необходимости реализовывать защита связи между компьютерами, поскольку они используют клиентскую библиотеку HTTP и жестко закодированные URL-адреса, поэтому нет способа заставить их «просматривать» конечную точку, уязвимую к CSRF, как вы можете с помощью обычного браузера (например, с тегом img).
Что касается обычных клиентов, даже если ваш микро-сервис доступен извне, это не должно быть проблемой, поскольку его система аутентификации должна разрешать только авторизованные клиенты (другие микросервисы, мобильное приложение и т. Д. c) ) и даже если клиент обманут в доступе к своим конечным точкам API, у него не должно быть правильных учетных данных для аутентификации на нем (если только ваши API-ключи или файлы cookie, с которыми сталкиваются клиенты, могут как-то работать для внутренних микросервисов, что является плохой идеей, и вы должен предотвратить это).