インターフェースへの悪意のある呼び出しについて話している場合、それはDDOS保護に関連しているため、私の答えは当てはまりません。
実際、この問題は、この機能を実行した人であれば誰でも遭遇することになります。つまり、ユーザーがログインしたと判断される場合、特に Cookie とセッションを使用するために実行されたわけではありません。異なるブラウザでログインすると、Cookie もセッションも役に立ちません。
そのとき私がやったのは、redis で別の関係 (ユーザー名-->チケット) を維持することで、ユーザー名に基づいて前のチケットを見つけて、ユーザーが繰り返しログインしたかどうかを判断できるようにすることでした。

まずこれに答えます。マシンへのログインをより困難にするために、ログイン時に確認コードを追加します。これは一つの方法ですが、他にも方法はあるのでしょうか？

ログイン後、チケットはセッションまたはCookieを通じてユーザー側で記録され、ログアウト時にサーバーがチケットを取得してクリアするか、ユーザーが再度ログインしたときにサーバーがチケットをクリアできます。また、最後のチケットを取得して決定します。破棄するかどうかを決定する別の方法は、ユーザー ID をキー値として使用してチケットを保存することです

短時間に連続してログインする場合、手動操作であればredisが対応できなくなることはありませんのでご安心ください。

DDoS 攻撃の場合は、外部 (ルーター、ファイアウォール、HTTP サーバー、またはアプリケーション) に保護ポリシーを追加する必要があります。

アプリケーションでは、このような「異常なログイン」動作をどのように定義するかによって異なります。たとえば、短期間のログインを比較できるか (時間間隔はカスタマイズ可能)、ソースが一貫しているかどうかが異なります。 （例：ユーザーは5秒以内にログインする）地球上の10の異なる場所からログインする）、異常なログイン動作を判断した後、アプリケーションの機密性に応じて対処方法を決定できます（アカウントの禁止？ IPをブロックしますか? 証拠を集めて警察に連絡してください:-)

すでにログインしているのに、なぜもう一度ログインさせたいのですか? ロジックに何か問題がありますか?