Функция удаления пользователя, вероятно, была реализована, потому что определенным людям действительно разрешено удалять пользователя. Ваша служба нуждается в аутентификации (идентификация пользователя) и авторизации (проверка того, что только авторизованный пользователь может выполнять определенные методы).
Если у вас есть аутентификация и авторизация, вам не нужно беспокоиться о том, какой клиент получает доступ к вашему сервису.
Я мог бы быть более конкретным, если вы предоставите больше информации. Кто разрешает удалять пользователей? Какой клиент они используют для этого? Кому не разрешено удалять пользователей? Могут ли те, кому разрешено удалять пользователей, удалять каких-либо пользователей? Или они могут удалять только определенных пользователей (например, принадлежащих к одному отделу)?
(И, пожалуйста, сделайте ваш метод удаления методом, который может выполняться только как POST-запрос, а не как GET-запрос.)