Il n'est pas nécessaire de s'authentifier pour accéder aux données fournies par un endpoint GraphQL. Pourquoi ?
L'API GraphQL délivre des données à caractères publiques, qui sont disponibles selon un contexte utilisateur.
Il n'est donc pas nécessaire de protéger à tout prix cet endpoint car elles ont de par leur nature très peu de valeur. En effet, ces données sont affichées sur les interfaces client (applications Web, Mobiles, SmartTV...), et elles sont donc de ce fait très facilement "aspirable" (le terme de scrapping est très souvent utilisé).
Cette action de "scrapping" est par ailleurs très souvent réalisée via de nombreux utilitaires et autres robots qui sont capables de parser tout type de site Internet pour en aspirer le contenu.
En conclusion, l'accès sans authentification à un endpoint GraphQL ne change rien au cœur du problème ici présenté : les données présentes sur un site Internet peuvent être "aspirées" directement et très facilement depuis l'interface utilisateur.