использовать некий ключ, передаваемый в самом запросе, тогда как его хранить, например в env
Все придумано за вас, давно.
Некий ключ передаваемый в запросе - сессионная кука. Прочитайте про куки, и сикьюрные флаги кук - как http only и secure.
Прочитайте, что такое сессии php. Как она подымается, обратите внимание, когда появляется сессионная кука, и как она меняется от клиента к клиенту (потыкайте обычный режим браузера и инкогнито).
Посмотрите, как используется $_SESSION и $_COOKIE, чтобы сохранять данные авторизации, которые не передаются клиентом прямыми запросами.
Понимание работы с сессиями сервера и куками, не обязательно в PHP, даст исчерпывающий ответ на вопрос.