嗨 Juan！我之前折腾Matomo的时候也纠结过类似的问题，来给你唠唠实际情况～

• 先澄清个误区：Matomo不是完全没认证机制，只是默认配置可能没把这块的开关打开。核心的Token Auth就是它的认证核心，你可以在个人账号的「设置」里生成专属的访问令牌，不管是调用后台API还是集成追踪SDK，都得带上这个令牌才能通过身份校验。
• 你说的“未授权应用被追踪”导致数据不准的问题，大概率是因为你没给追踪请求加上认证限制。比如用JS追踪代码的时候，其实可以加上_paq.push(['setTokenAuth', '你的令牌']);，这样只有携带合法令牌的请求才会被Matomo统计，就能过滤掉乱七八糟的未授权请求了。
• 要是你准备搞Plugin SDK开发，SDK里也封装了现成的认证工具类，比如Piwik\Auth，能帮你快速实现插件的身份验证逻辑，不用自己从头造轮子。
• 我当初也是一开始没注意到这些配置，后来翻了官方文档的「API认证」和「追踪API安全」章节才搞明白，建议你先去啃啃这两块内容，比自己瞎猜高效多啦～

内容的提问来源于stack exchange，提问作者Juan Ramos