Да, это нормально. Более того, рендеринг и api могут быть на разных серверах. Запрос от сервера к другому серверу или к самому себе должен быть как от клиента, с теми же заголовками.
Посмотрите существующие примеры react ssr.
Да, их можно подменить. Но если клиент "поверит" этим новым данным, то ничего страшного нет. А на сервере их проверка должна быть в любом случае. Можно использовать jsonwebtoken.
