关于公众号 h5 网页拍照人脸核身被绕过的问题？

想请教各位大佬们，我们的业务场景是这样的：学员通过公众号点进去网页登录，然后拍照再进行学习；现在的碰到的问题是有些培训机构通过技术手段直接绕过了拍照这一步，通过直接调用接口来实现刷脸，代学员学习。请问这种问题该怎么处理呢？

大致请求流程：手机端拍照完以后把照片数据 base64 以后调用后台人脸验证接口，然后后台再调用腾讯的 DetectLiveFace 接口。我猜想就是对方应该是所有操作通过接口来调用的，或者通过工具拦截篡改数据提交，具体也不清楚他们怎么做到的！

我们尝试过混淆前端代码或者密钥验证之类的，都防堵不住！不知如何处理是好，谢谢！