uzytkownik mający token może wysyłać requesty do api w node.js nawet bez wchodzenia na strone, co daje łatwą możliwość botowania w mojej hobbystycznej grze mmorpg, można wysłać POST'em do 15 url w mniej niz sekunde rozne dane co jest zbyt łatwe, dodatkowo niektóre requesty przeciążają server i są wykonywane za pomocą skryptu u klienta rzadko, natomiast za pomocą linku użytkownik posiadający token może wykonać ich dowolną ilość.
w jaki sposob to mozna ograniczyć lub jakie zabezpieczenia powinno się stosować?