But I figure in the reverse fashion of denying all and only accepting one it could be quite effective.
A documentação que você citou está alertando especificamente contra o que você está sugerindo.
A menos que seu tráfego esteja passando por um canal criptografado (HTTPS) (provavelmente não é o caso se você não tiver a opção de usar qualquer outro meio de autenticação), um observador casual em qualquer lugar entre a rede do cliente e a rede de destino será capaz de ver quais agentes de usuário são "aceitos" pelo seu serviço - ou seja, você não tem garantia de privacidade.