Меры безопасности на web api сервисе

Необходимо сделать небольшой web api сервис, служащий для сохранения отчётов, принятых с клиента (Android приложение). Отчёты присылаются в простой форме (POST-запросом): тело отчёта + опциональная информация. Необходимо обеспечить безопасность: максимально возможное количество отчётов в день около 500, потенциальный злоумышленник может отправить с одного ip-адреса достаточно большое количество запросов, нужно как-нибудь обработать такую ситуацию. Какие меры безопасности можно произвести?

1. Можно ли как-нибудь эффективно настроить CORS
2. Имеет ли смысл сделать какой-нибудь black list для ip-адресов, в который будут попадать все ip-адреса, отправившие больше, к примеру, 10 запросов. Если у злоумышленника динамический ip-адрес, то тогда следует ограничить общее возможное количество запросов за день, но это тоже не вариант.

Есть ли какие-нибудь варианты решить даннную проблему?