Levando em conta que você precisa instalar o app no celular, e definir uma rota especifica nela acho dificil, e mesmo que você defina uma rota se a pessoa gerar um JWT dificilmente outra pessoa vai conseguir achar o mesmo JWT e colocar na aplicação.
Respondendo a "Vale ressaltar que a maior parte dos ataques a..." dentro da publicação Envie Push Notifications por POST (de graça e sem cadastro)
1