Spring doc dice

"¿Cuándo utiliza la protección CSRF? Nuestra recomendación es utilizar la protección CSRF para cualquier solicitud que pueda ser procesada por un navegador por usuarios normales. Si solo está creando un servicio que es utilizado por clientes que no son navegadores, es probable que desee deshabilitar Protección CSRF ".

¿Qué sucede si mi servicio va a ser utilizado por clientes "navegadores" y "no navegadores", como servicios externos de terceros, ¿proporciona Spring Security una forma de deshabilitar csrf exclusivamente para cierto tipo de clientes?

Referencia:http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html