Secondo me a livello di sicurezza potresti anche avere dei livelli equivalenti utilizzando le api, ora in quel campo va molto di moda jwt che sembra garantire una buona protezione (anche se è relativamente giovane, quindi è sempre bene non fidarsi troppo).
Però se non hai intenzione di utilizzare app desktop/mobile per gestire il backend da più client, o più in generale se non ti serve una struttura headless (forse da quello che dici è così e quindi le api hanno un senso) è solo lavoro in più che ti fa perdere tempo.