针对公共URls的Rest API保护

Question

我正在使用IONIC 3构建混合移动应用程序。该应用程序包含一组可通过身份验证的用户访问的页面，以及一组可用于匿名用户的页面。公开页面用于注册请求等。

该应用程序对所有私有页面使用具有JWT身份验证的rest服务。 我应该采取哪种安全措施，以确保不滥用公共休息服务。

例如，在网络上，我们拥有CSRF令牌或公共网页的CAPTCHA，我如何才能保护公共REST服务。