关于RESTful的问题

请问我有两个业务需求,一个服务器是供用户操作,一个是专门的处理API请求的。

比如:用户从A网站提交注册,那么就会转到http://xxx.com/api/account/create| 11df78463a07af1022db666534785f191 |(这个API在B网站)

问题来了,这个API我只想系统权限才能使用,于是我加入了CSRF,但是好像是多余的,这个涉及到跨站请求吧

如何才能保证只有系统才能用这个API接口呢?