票务实施中的潜在安全漏洞

我正在尝试为这种情况集体讨论潜在的安全漏洞（顺便说一句，我已经问了一个相关问题several days ago，但是，从答案中，我已经意识到解释EXACT场景非常关键，因为许多答案都是（因为这个而无关紧要。我还列出了我到目前为止已经确定的漏洞，以及如何减轻这些漏洞，所以对它们的反馈将不胜感激。所以我们走了：

a）整个系统将是一个“票务”系统，但不是普通票，而是“通行证”系统。含义：客户去订购“通行证”票，这使他能够在特定时间段内访问特定地点的某些特权（例如免费进入博物馆）。这意味着，这是一张在1-7天（但不超过7天）之后过期的机票。

b）用户的“流程”是：

1. 用户进入网站，在特定时间段内订票，这使他在某些地点（博物馆等）获得额外津贴。
2. 订单成功后，网站会打印一个6个字母的长字符串（一个ID）。示例：GFZ-GFY。有26 ^ 6（~308亿）潜在组合。当然，这些ID将存储在安全的数据库中。
3. 用户然后去博物馆（或其他场所）并显示6个字母长的字符串。员工通过网络应用程序检查其有效性或向数字发送短信，立即获得有效状态（在这两种情况下，代码将查询数据库以检查故障单有效性）。

到目前为止，我已经确定了两个潜在的问题：

a）暴力攻击

将会出现2个“攻击面”：

1. 博物馆员工将拥有对网络应用程序的门控访问权限（以验证机票有效性）。我缓解这种情况的方法是将每个用户帐户的查找次数限制为每天1,000次。
2. 用户将能够检查其订单的状态。我将通过以下几种方式缓解这一问题：首先，URL不是“公共”，并且仅对购买故障单的用户可用。其次，我将实施ReCaptcha v3，IP禁止每小时超过10次不成功的请求。
3. 一次“活跃”票的数量预计为5000（在其峰值时），正常情况下将是500-1000，因此考虑到有数亿个组合，攻击者需要付出巨大努力才能蛮力通过这个方式。

攻击者可以采取的第二种（也更简单的）方法就是购买机票并重新发布，或者在线发布，供任何人使用。我将减轻这个问题的方法是：

1. 在博物馆检查通行证的有效性后，如果他们再次检查通行证，将会收到一条通知：此时此地点已经检查过此通行证：[时间 - 日期]。
2. 虽然我计划重新使用相同的代码，但我会确保在两个句点之间至少有90天的时间段。也许有一些我不知道这样做的漏洞。在“到期”日期过去90天后，代码可以不再使用。我所说的就是它将在可以使用的潜在（3亿多个）代码的“池”中发布。也许这不是一个好主意？
3. 客户将被发送（发送到一个地址，或被指示提取），一张类似空白卡的“票证”，代码将被写在上面（或者他必须用笔在上面写上代码）票）。这将使攻击变得更难，因为攻击者现在需要同时访问代码+可以使用相同材料打印此类卡的打印机。

你看到任何其他潜在的攻击可以做到吗？在我目前的缓解方法中，有什么我想念的吗？