Есть WCF сервис, открытый для всех желающих.
Как бы его оградить от вероятного спама, так что бы это не затрагивало клиентскую сторону?

Например доступ к некотрым методам можно получить с помощью GET-запросов просто набрав нужный урл в адресной строке.

Я додумался только до того что бы записывать ip - и не давать больше одного запроса в 10-20 минут. Но тогда пострадают пользователи Tor.
Можно заставлять перед использованием получать аккаунт с помощью отправки e-mail, и уже банить по аккаунтам. Тоже не удобно - нужно запоминать свой аакаунт, и потом кто-то не захочет регистрироваться...

Как бы получше решить задачу?
Спасибо.