Ottima osservazione e ottima domanda.
Attualmente, tutte le chiavi API hanno accesso in lettura e scrittura ai database associati all'account dell'utente e qualsiasi agente in possesso di una chiave API può emettere correttamente qualsiasi richiesta di questo tipo.
Come osservi, questa chiave di accesso molto semplice non è progettata pensando a nessun tipo di sicurezza a grana fine.
Tuttavia, stiamo lavorando su un batch di nuove funzionalità di sicurezza dell'API REST mirate proprio a questo.
Contattaci a [email protected] se sei interessato a discutere i dettagli.
