@Spanish
Wenn alles nur von intern erreichbar sein soll, kannst du auf ein eigenes Webdevice verzichten.
Ich nutze es, um die von außen erreichbaren Aktionen noch weiter einzuschränken.
Deine zweite Frage verstehe ich nicht ganz. Abrufen, tue ich eigentlich nur den csrf-Token aus dem URL-Header.
Auf den ersten blick würde ich sagen, dass in deiner Befehl zu viele und unnötige Bestandteil (room?) enthalten sind.