Это запросы к api системы извне по http. Если запрос выполняется от имени пользователя, в заголовках необходимо указать его X-Auth-Token, при этом работа через API должна быть включена на уровне системы, а также отдельно для данного пользователя. При отправке запроса к api токен CSRF указывать не нужно.
Для запросов на выполнение действий включение/переключение функционала вам понадобится в основном всего два параметра в теле запроса - id и table. Вы всегда можете выполнить действие вручную и посмотреть в логах его данные.
Например включаем/отключаем группу пользователей id 3 выполняя по сути вот это действие
PHP:
PHP CURL:
Вы можете делать любые запросы к выборкам, действиям. Автоматизированные запросы от имени пользователя доступны также через Встроенные CRON задачи. Там вместо X-Auth-Token там достаточно указать id пользователя из подчинённой группы.