Мне непонятно, почему было бы целесообразно ограничиться только айфонами, поскольку, я думаю, вас действительно беспокоит объем API на пользователя (iPhone или нет) и количество пользователей. Поддать клиента довольно легко, поэтому лучшим способом было бы либо выдать ключи / идентификаторы при регистрации, а затем ограничить громкость для каждого ключа или по IP-адресу. Использование ключей также означает, что у вас будет лучший идентификатор для ваших пользователей, что может быть полезно в долгосрочной перспективе. IP-адреса могут быть проблематичными с мобильными клиентами, но по крайней мере вы можете сделать некоторые основные ограничения нагрузки.