サーバーとの通信のないローカルのみで動く、iOSアプリを運営しています。

この度、継続課金機能導入のため、レシート検証用に独自サーバー・APIを作成したのですが、
レシート検証のEndpointのみでも安全のためアクセストークンによる認証機能(例: JWT)は実装すべきでしょうか?

アクセストークンを用いず、クライアントがこのAPIを叩くのはセキュリティ上まずいでしょうか?

レシート検証以外でクライアントがこのAPIを叩く予定は今のところありません。ちなみにクライアント側にはログイン機能はなく、初回起動時にUUIDを自動作成し、クライアントのローカルDB(Realm)で保持しています。

サーバー側は初心者のため、よろしくお願いいたします。