Это запросы к api системы извне по http. Если запрос выполняется от имени пользователя, в заголовках необходимо указать его X-Auth-Token, при этом работа через API должна быть включена на уровне системы, а также отдельно для данного пользователя. При отправке запроса к api токен CSRF указывать не нужно.

Для запросов на выполнение действий включение/переключение функционала вам понадобится в основном всего два параметра в теле запроса - id и table. Вы всегда можете выполнить действие вручную и посмотреть в логах его данные.

Например включаем/отключаем группу пользователей id 3 выполняя по сути вот это действие

PHP:

curl --location 'https://wrong-mvc.com/api/action/toggle' \
--header 'x-auth-token: your-token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'id=3' \
--data-urlencode 'table=groups'

PHP CURL:

$curl = curl_init();
 
curl_setopt_array($curl, array(
  CURLOPT_URL => 'https://wrong-mvc.com/api/action/toggle',
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_ENCODING => '',
  CURLOPT_MAXREDIRS => 10,
  CURLOPT_TIMEOUT => 0,
  CURLOPT_FOLLOWLOCATION => true,
  CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
  CURLOPT_CUSTOMREQUEST => 'POST',
  CURLOPT_POSTFIELDS => 'id=3&table=groups',
  CURLOPT_HTTPHEADER => array(
    'x-auth-token: your-token',
    'Content-Type: application/x-www-form-urlencoded',
  ),
));
 
$response = curl_exec($curl);
 
curl_close($curl);
echo $response;

Вы можете делать любые запросы к выборкам, действиям. Автоматизированные запросы от имени пользователя доступны также через Встроенные CRON задачи. Там вместо X-Auth-Token там достаточно указать id пользователя из подчинённой группы.