O Protheus tem uma falha que não valida permissões em alguns endpoints, então é necessário a gente usar um ponto de entrada (que não lembro o nome mas vou postar aqui quando lembrar) pra limitar quais endpoints estarão disponíveis, esse ponto de entrada deve ser compilado principalmente na porta do MPP onde por padrão existe uma API em /app-root.
Para ambientes onde a API fica de cara pra internet é importante um api gateway para limitar quais endpoints vão poder ser acessados de fora.
No exemplo acima foi criado um usuário com o mínimo de permissão e mesmo assim ele consegue ter acesso aos parâmetros(lugar onde fica a maioria dos tokens/chaves de integração)