У меня есть JavaScript SPA, который использует внутренний REST API, созданный с помощью Django (Django Rest Framework).Это небольшой академический проект, который может привлечь лишь несколько сотен пользователей на регулярной основе.Наш первоначальный проект предполагал, что пользователи могут захотеть сохранить данные, но недавние консультации с потенциальными клиентами заставили нас усомниться в том, нужно ли нам включать эту функцию.Таким образом, это полностью исключило бы необходимость запросов POST к бэкэнд-API, оставив только GET.Эти GET (через axios) содержат только параметры пути, без параметров запроса и возвращают небольшие полезные нагрузки JSON, используемые для визуализации компонентов SVG в приложении (эти данные предназначены только для чтения, статические данные, уже хранящиеся в базе данных базы данных).
Предполагаемая потребность в загрузке пользователей побудила нас также добавить функции входа в систему / выхода из системы и управления учетной записью.Мы даже начали смотреть на интеграцию Auth0.Но если мы полностью удалим пользовательскую загрузку, нужно ли нам таким образом защищать конечные точки API?