Вам Констатин, дал правильную наводку, что хорошо бы доку читать.
Но тем немее CreateFreshApiToken генерит токен и кладет в ку-ку - верно.
Вам остатется для написать middleware который проверяет x-csfr-token если запрос происходит из сайта(api - ориентированная система). Если внеший сайт, то только через токен. В интернетах полно инфы как это делается. Но раз вы задаете такой вопрос, то не понимаете как обстоит дело ouath2. Настоятельно рекомендую потратить 30 минут жизни на это.