Собственно говоря о каких подводных камнях речь? Для внешнего мира нет ни какой разницы, и не существует ни каких разграничений между public, admin и даже api, за исключением аутентификации если она у тебя подразумевается. И все запросы идут по защищенному протоколу
