如何保护公共可访问的API？

我正在创建一个FORM（调查表）以获取用户输入，访问网站的任何用户可以向我提供信息。这意味着，实际上任何人都可以公开访问该API，而无需任何令牌或会话（基本上没有任何内容）

我想防止人员获取端点并创建成千上万的请求（SPAM）淹没我的服务和数据库。我尝试查看Stackoverflow和一些中型帖子，有趣的是，我对此没有太多了解。

有人说：

• 将我的网站捆绑为一个混合应用程序，仅向“受信任的设备”提供accessToken以触发我的api （但这是一个纯Webapp）]]
• 创建自定义标头并从我的Web服务器中标识标头（hmm ..？）
] >>
• 使用CAPTCHA （这只会阻止人们通过GUI进行垃圾邮件，但是仍然可以通过脚本进行垃圾邮件）]] >>

  由于它是公开的，难道这不是更好的保护方法吗？有什么想法要分享吗？

我正在创建一个FORM（调查表）以获取用户输入，任何访问该网站的用户都可以向我提供信息。这意味着，实际上任何人都可以公开访问该API ...