Аутентификация и безопасность удаленного пользователя Django

Я использую Django аутентификацию удаленного пользователя в проекте. На самом деле я использую только django.contrib.auth.RemoteUserBackend без промежуточного программного обеспечения и вручную вызываю Authenticate после проверки с серверной частью, что пользователь легитимен.

Читая источник промежуточного программного обеспечения, кажется, что он просто берет имя пользователя из заголовка в запросе, а затем аутентифицирует пользователя на сервере, передающем это имя пользователя. Серверная часть удаленного пользователя, в свою очередь, просто весело регистрирует пользователя с любым переданным именем пользователя. Затем пользователь имеет доступ ко всем областям, для которых требуется действующий логин.

Разве это не просто огромная брешь в системе безопасности? Как это предполагается использовать?

В моем случае я должен быть в безопасности, поскольку единственный вызов Authenticate происходит после успешной удаленной проверки личности, но мне интересно, почему было введено промежуточное ПО .