Нужны подробности того как вы авторизируете юзера через API, потому что есть подозрение что вы при это авторизации не отдаете авторизационный токен или не используете его при запросах на защищенные узлы.
И, да. CSRF не работает в API-запросах, так как для хранения проверочного токена используются сессии, которые, в свою очередь, не используются в API.