@אביי כתב בדרכים לאבטחת שימוש בapi:
(ללכוד את הקריאה כמו שהיא נשלחת זה יחסית קל, אבל להבין למה אותה בקשה פתאום כבר לא עובדת משום מה (כי יש טוקן זמני), ואז להסיק שזה איפשהו בקוד ולהתחיל לחפש בשביל זה צריך להיות עכבר קצת יותר רציני ..)
לכן הציעו קאפצ'ה, זה בעצם טוקן חד פעמי שמיוצר עבורך, אם החשש הוא מכאלה שרק יודעים לשחק בפוסטמן וכדו' זה אמור להיות מעולה