Eu desenvolvi uma API para obter todos os dados.

O site não possui um sistema de registro de usuário nem nada para identificar o usuário que está fazendo uma chamada para a API. Se eu conseguisse identificar o usuário que fez a ligação, sempre que alguém utilizasse mal ou atacasse a API, eu poderia até banir seu IP.

Estou pensando em gerar uma chave de API com base no endereço IP ou MAC do usuário, mas é seguro fazê-lo? Alguma outra sugestão?