Я разработал API для получения всех данных.

На сайте нет системы регистрации пользователей или чего-либо, что позволяло бы идентифицировать пользователя, совершающего вызов API. Если бы я мог идентифицировать пользователя, делающего вызов, всякий раз, когда кто-то злоупотреблял или атаковал API, я мог бы даже забанить его IP.

Я думаю о создании ключа API на основе IP-адреса пользователя или MAC-адреса, но безопасно ли это делать? Любые другие предложения?