서비스에 적용하실 DDos 공격에 대한 방지는 redirectUri 라고해서 특별한 점은 없을 것 같아요.
redirectUri로 직접 들어온 요청과 Kakao.Auth.authorize 함수를 통해서 들어온 요청을 구분하는 방법은 state로도 가능할 것 같아요.
(Kakao.Auth.authorize 함수 요청 시 전달한 state는 인증코드 전달 시 query string으로 함께 전달 됩니다.)
참고) https://developers.kakao.com/sdk/reference/js/release/Kakao.Auth.html