Security 识别web应用程序用户的非侵入性方法

我正在构建一个web应用程序，允许用户报告交通延误。我希望用户能够（如果可能的话）在不注册或登录的情况下创建报告，同时通过限制未经身份验证的用户可以创建的报告数量来防止用户滥用引入的无用数据

在没有cookie或存储IP地址的情况下，这是可能的吗

---

我的理由是，创建报告的摩擦越小，用户就越愿意创建报告。

您可以使用CAPTCHA停止自动发布，并阻止用户大规模提交报告（一段时间后解决CAPTCHA就没有意思了）。但是，如果这是太侵入，没有IP地址没有多少剩余的工作。在低层次上考虑接口。即使假设您允许cookie，用户也会向您的服务器发送GET请求以获取有效的会话id（或更通用的设置中的cookie状态），然后向您的服务器发送包含cookie和报告的POST请求。没有任何东西可以让服务器区分1000个用户（每个用户都遵循上面的一次）和一个用户遵循上面的1000次

因此我会说：不，你必须承受攻击的风险，并可能在统计层面上过滤掉它们，或者实施一些基于IP地址的节流