Solucionado
No exemplo da aula, temos o delete implementado em um javascript do front end da aplicação. Desta forma, não seria ruim se o usuário tivesse acesso para descobrir como é feito um delete, e ganhasse o poder de fazer isso por fora do sistema?
Entendo que, de fato, o back-end é quem sabe definitivamente se o item deverá ser excluído ou não, mas não haveria uma forma de esconder isso do client?
João, boa tarde!
Mais a frente no curso de API's com NodeJS, você verá que as aplicações backend disponibilizam um token, e quem não tiver esse token não terá autorização para executar algumas tarefas, como por exemplo excluir um livro
Eu espero ter ajudado e bons estudos!