IDONTSUDO

Можно ли как-то сделать так, чтобы никто другой не мог повторить эти запросы и получить мои данные в json-формате?
Используй механизмы ссесий. По типу Cookies/JWT.
P.S. советовал бы JWT отличная лекция Ильи Климова на эту тему.

Может настройками nginx сделать так, чтобы эти XMLHttpRequest запросы нельзя было выполнить напрямую? Чтобы нельзя было адресу XMLHttpRequest получить данные.
nginx это сервер который просто проксирует контент

в REST архитектуре чаще использую JWT ниже ссылка на отличные объяснения Илья Климова о том что это такое и с чем его едят.

https://www.youtube.com/watch?v=vQldMjSJ6-w&t=1s