Проблемы безопасности при выполнении запроса HTTPS API

У меня есть таблица в моей БД, из которой я должен получать данные через регулярные промежутки времени на основе некоторых параметров. Я думал о том, чтобы создать API, который будет извлекать мне данные с сервера (запрос POST по https). Это делается аутентифицированным способом с использованием токена аутентификации. Обсуждая то же самое, кто-то предложил, чтобы конкретному человеку был предоставлен доступ к БД, а затем он устанавливает прямую связь с БД с помощью SQL или чего-то еще. Его аргумент, чтобы получить прямой доступ к БД, заключался в том, что если кто-то манипулирует данными в API во время доступа, мы можем получить неправильные результаты. Таким образом, при установлении прямого соединения с БД, до тех пор, пока его конфигурационный файл не будет открыт, все будет в безопасности. Никто не может манипулировать чем-либо.

Я не убежден в этой идее. Я думаю, что прямой доступ к БД разоблачает всю БД, которая сама по себе является очень большой угрозой. Кроме того, если бы это была такая большая угроза, что люди могли изменять данные в API, зачем все это использовали. Я не знаю, как все это работает!

Итак, что я хочу понять, так это то, что всякий раз, когда мы выполняем вызов API, который использует auth_token для аутентификации, все еще остается угроза, что кто-то сможет захватить промежуточные данные? Может ли кто-то еще увидеть, какие данные я отправляю в своем запросе?

Я не совсем понимаю эти вещи и просто нуждаюсь в помощи. Может быть, правильные статьи, которые помогают мне понять, какие данные раскрываются, а какие нет. Пожалуйста, помогите. Спасибо!