Нужен ли CSRF для Laravel, использующегося только как REST API

Есть backend на Laravel. Laravel - только для REST. В документации к пакету Sanctum нашёл, как получают CSRF для SPA(Single Page Application), если Laravel полностью на REST API. Там была достаточно странная реализация авторизации для SPA, которая кидала сессию рядом с CSRF, и мне показалась костыльной и не правильной. Я решил полностью убрать всё, что связано с сессиями. Поэтому перешёл на Passport. И не понимаю, нужен ли мне CSRF токен? Ведь все POST запросы всё равно будут производится только для авторизованных пользователей через заголовок Authorization: Bearer access_token access_token лежит в локальном хранилище И никаких авторизаций при помощи cookies и быть не может. А это значит, что пропадает вся необходимость защиты от CSRF. Я прав?