Совсем без защиты нельзя — конкуренты могут тупо валить заказы всем подряд, создавая реноме спамеров. Я бы поставил на усмотрение пользователя — OAuth, либо капча + обязательное подтверждение заказа по линку в письме, либо смс-код. И с паролями не надо маяться, и левых заказов будет немного.
