针对Get请求的Recaptcha v3保护

来自recaptcha v2背景，具有我自己的机器人检测逻辑。我想尝试v3的新机器人检测评分功能

我想保护我的搜索页面不被试图每0.5秒查询数据库的机器人程序滥用

搜索结果页面接受url查询参数，允许用户对页面进行图书标记。例如

mydomain.com/findallcities？country=xxx&province=yyy&populationmin=5000

根据我的理解，v3流是这样工作的

客户端调用recaptcha JS函数并获取令牌

客户端将令牌附加到表单中的某个位置，以便服务器稍后可以验证令牌

表单提交，服务器接收令牌

若服务器未获得令牌，则拒绝。否则，验证令牌以获得用户分数并相应地采取行动

所以问题来了。我如何判断它是一个通过Get请求点击mydomain.com/findallcities？country=xxx&province=yyy&populationmin=5000的机器人，还是一个点击书签的合法用户？没有要验证的令牌，即使它可能是以前的过期（已使用）令牌